Fórum Root.cz

Hlavní témata => Server => Téma založeno: RDa 23. 09. 2022, 16:23:39

Název: Kolize TCP portu
Přispěvatel: RDa 23. 09. 2022, 16:23:39
Ahoj, nejakou (zrejme opravnenou) nahodou se mi stala podivna vec - pri rebootu serveru, ktery obsahuje mimo ine NFS klienta a IMAPS server, bylo NFS spojeni vytvoreno z "nahodneho odchoziho TCP portu" cislo 993, takze samozrejme nanabehl demon ktery obsluhuje IMAPS na portu 993.

Premyslim jak teto situaci predejit nejak rozumne, protoze ne vsichni klienti maji moznost specifikovat "outgoing port range", a popravde me pouziti portu <1024 pro odchozi spojeni zarazilo. Takze v pripade par stovek rebootu, nastane kolize :)

Ideal by bylo brzo pri bootu vyspecifikovat cisla serverovych portu (to je konstantni sada na danem serveru), aby ty nikdy nebyli pouzity pro klientske spojeni... ale tohle asi v Linuxu nejde, vid?
Název: Re:Kolize TCP portu
Přispěvatel: Filip Jirsák 23. 09. 2022, 16:41:43
Ta čísla serverových portů jsou právě porty menší než 1024. Spíš bych pátral po tom, proč to NFS spojení bylo vytvořeno z takhle nízkého portu. Opravdu ne každý program má možnost specifikovat outgoing port range, ale když tu možnost nemá, měl by nechat volbu portu na jádru a to by mělo zvolit vysoký port.
Název: Re:Kolize TCP portu
Přispěvatel: Jakub Štech 23. 09. 2022, 17:09:03
To je takový "bezpečnostní" archaismus v NFS: v dávných dobách server mohl po klientech chtít, aby se připojovali z nízkých (<1024) portů, čímž serveru "prokázali", že klient běží pod rootem a že si nějaký póvl nepřipojuje, co nesmí :-)

Řešením je mount -o noresvport (...), případně ekvivalent v /etc/fstab nebo někde. Zřejmě vám tam distribuční default dává resvport (use a reserved port).
Název: Re:Kolize TCP portu
Přispěvatel: a6b 23. 09. 2022, 17:30:48
nfs jsem pouzival pred 20 lety v linuxu, furt se to pouziva jo? uz tehdy to byla on**ie :-)
Název: Re:Kolize TCP portu
Přispěvatel: RDa 23. 09. 2022, 22:15:20
Citace: Jakub Štech  23. 09. 2022, 17:09:03
To je takový "bezpečnostní" archaismus v NFS: v dávných dobách server mohl po klientech chtít, aby se připojovali z nízkých (<1024) portů, čímž serveru "prokázali", že klient běží pod rootem a že si nějaký póvl nepřipojuje, co nesmí :-)

Řešením je mount -o noresvport (...), případně ekvivalent v /etc/fstab nebo někde. Zřejmě vám tam distribuční default dává resvport (use a reserved port).

Vyzkousim, pripadne tomu zkusim vnutit rozumny low range, mimo cisla pouzivanych sluzeb.


Citace: a6b  23. 09. 2022, 17:30:48
nfs jsem pouzival pred 20 lety v linuxu, furt se to pouziva jo? uz tehdy to byla on**ie :-)

Onanie to mozna je kdyz potrebujete remapovat UIDy na spravne uzivatele. V me skromne domaci siti jeste stiham vytvaret svuj osobni ucet jako prvni, takze UID 1000 je vzdy muj, vic nejak nepotrebuji od toho.

Tady se zrovna jednalo o sdilenou slozku pro gentoo distfiles - cache stazenych komponent.