Nfs
如何從 AIX 上的 NFS 伺服器啟動 NFS 客戶端?
我們可以看到我們想要啟動的客戶端的 NFS 使用率很高,但不會影響其他 NFS 客戶端。我們應該怎麼做?僅使用防火牆?
您將需要 bos.net.ipsec.rte 才能使用類似 iptables 的解決方案。
檢查您目前的安裝:
michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte Fileset Level State Type Description (Uninstaller) ---------------------------------------------------------------------------- bos.net.ipsec.rte 6.1.9.45 C F IP Security如果已經安裝,您可以使用以下命令檢查它是否處於活動狀態:
積極的:
michael@x071:[/home/michael]lsdev -C | grep ipsec ipsec_v4 Available IP Version 4 Security Extension ipsec_v6 Available IP Version 6 Security Extension非活動:
root@x064:[/]lsdev -C | grep ipsec那是沒有輸出,意味著它從未被啟動,或者
root@x072:[/]lsdev -C | grep ipsec ipsec_v4 Defined IP Version 4 Security Extension ipsec_v6 Defined IP Version 6 Security Extension一些輸出意味著可能有一些配置,但它已被停用。
以下是一些範例,說明如何為 v4 和/或 v6 ipsec 打開/關閉 ipsec。
root@x072:[/]lsdev -C | grep ipsec ipsec_v4 Defined IP Version 4 Security Extension ipsec_v6 Available IP Version 6 Security Extension root@x072:[/]mkdev -l ipsec_v4 ipsec_v4 Available root@x072:[/]rmdev -l ipsec_v6 ipsec_v6 Defined root@x072:[/]lsdev -C | grep ipsec ipsec_v4 Available IP Version 4 Security Extension ipsec_v6 Defined IP Version 6 Security Extension現在停止每個客戶端的 nfs(定義為 IP 地址)
讓我們將IP地址192.168.111.222作為我要停止的客戶端的地址。可以採取不同的操作-允許和拒絕是常見的-儘管我們可以有點花哨,並使用塊埠,每次埠嘗試連接時都會創建一個新的動態拒絕規則-這樣您就可以看到如何active 唯一的掛載請求是:
我們需要關注2049埠
root@x072:[/]grep nfs /etc/services nfsd-status 1110/tcp # Cluster status info nfsd-keepalive 1110/udp # Client status info picknfs 1598/tcp # picknfs picknfs 1598/udp # picknfs shiva_confsrvr 1651/tcp # shiva_confsrvr shiva_confsrvr 1651/udp # shiva_confsrvr #nfs 2049/tcp # Network File System - Sun Microsystems #nfs 2049/udp # Network File System - Sun Microsystems 3d-nfsd 2323/tcp # 3d-nfsd 3d-nfsd 2323/udp # 3d-nfsd mediacntrlnfsd 2363/tcp # Media Central NFSD mediacntrlnfsd 2363/udp # Media Central NFSD注意:要使用 smit(ty) 使用:
smitty ipsec4然後使用高級…->添加
Add an IP Security Filter Rule Type or select values in entry fields. Press Enter AFTER making all desired changes. [Entry Fields] * Rule Action [shun_port] + * IP Source Address [192.168.111.222] * IP Source Mask [255.255.255.255] IP Destination Address [0.0.0.0] IP Destination Mask [0.0.0.0] * Apply to Source Routing? (PERMIT/inbound only) [yes] + * Protocol [tcp] + * Source Port / ICMP Type Operation [any] + * Source Port Number / ICMP Type [0] # * Destination Port / ICMP Code Operation [eq] + * Destination Port Number / ICMP Type [2049] # * Routing [local] + * Direction [inbound] + * Log Control [no] + * Fragmentation Control [0] + * Interface [all] + Expiration Time (sec) [300] # Pattern Type [none] + Pattern / Pattern File [] Description <g port on NFS request]或者從命令行:
/usr/sbin/genfilt -v 4 -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'無論是在 smit 中,還是在命令行中 - 啟動規則
mkfilt -v4 -u並查看配置的規則
lsfilt -v4 -O並查看任何(可能)動態規則
lsfilt -v4 -a -O** 評論我還不能添加:如果您現在需要更改 - 因為這只會影響到埠的未來連接,您可以使用以下命令:
nfs.clean; sleep 2; rc.nfs停止,然後重新啟動 nfs 服務。注意
stopsrc -g nfs; startsrc -g nfs沒有以正確的順序啟動守護程序