Kolize TCP portu

RDa

  • *****
  • 1 956
    • Zobrazit profil
    • E-mail
Kolize TCP portu
« kdy: 23. 09. 2022, 16:23:39 »
Ahoj, nejakou (zrejme opravnenou) nahodou se mi stala podivna vec - pri rebootu serveru, ktery obsahuje mimo ine NFS klienta a IMAPS server, bylo NFS spojeni vytvoreno z "nahodneho odchoziho TCP portu" cislo 993, takze samozrejme nanabehl demon ktery obsluhuje IMAPS na portu 993.

Premyslim jak teto situaci predejit nejak rozumne, protoze ne vsichni klienti maji moznost specifikovat "outgoing port range", a popravde me pouziti portu <1024 pro odchozi spojeni zarazilo. Takze v pripade par stovek rebootu, nastane kolize :)

Ideal by bylo brzo pri bootu vyspecifikovat cisla serverovych portu (to je konstantni sada na danem serveru), aby ty nikdy nebyli pouzity pro klientske spojeni... ale tohle asi v Linuxu nejde, vid?


Re:Kolize TCP portu
« Odpověď #1 kdy: 23. 09. 2022, 16:41:43 »
Ta čísla serverových portů jsou právě porty menší než 1024. Spíš bych pátral po tom, proč to NFS spojení bylo vytvořeno z takhle nízkého portu. Opravdu ne každý program má možnost specifikovat outgoing port range, ale když tu možnost nemá, měl by nechat volbu portu na jádru a to by mělo zvolit vysoký port.

Re:Kolize TCP portu
« Odpověď #2 kdy: 23. 09. 2022, 17:09:03 »
To je takový "bezpečnostní" archaismus v NFS: v dávných dobách server mohl po klientech chtít, aby se připojovali z nízkých (<1024) portů, čímž serveru "prokázali", že klient běží pod rootem a že si nějaký póvl nepřipojuje, co nesmí :-)

Řešením je mount -o noresvport (...), případně ekvivalent v /etc/fstab nebo někde. Zřejmě vám tam distribuční default dává resvport (use a reserved port).

a6b

Re:Kolize TCP portu
« Odpověď #3 kdy: 23. 09. 2022, 17:30:48 »
nfs jsem pouzival pred 20 lety v linuxu, furt se to pouziva jo? uz tehdy to byla on**ie :-)

RDa

  • *****
  • 1 956
    • Zobrazit profil
    • E-mail
Re:Kolize TCP portu
« Odpověď #4 kdy: 23. 09. 2022, 22:15:20 »
To je takový "bezpečnostní" archaismus v NFS: v dávných dobách server mohl po klientech chtít, aby se připojovali z nízkých (<1024) portů, čímž serveru "prokázali", že klient běží pod rootem a že si nějaký póvl nepřipojuje, co nesmí :-)

Řešením je mount -o noresvport (...), případně ekvivalent v /etc/fstab nebo někde. Zřejmě vám tam distribuční default dává resvport (use a reserved port).

Vyzkousim, pripadne tomu zkusim vnutit rozumny low range, mimo cisla pouzivanych sluzeb.


nfs jsem pouzival pred 20 lety v linuxu, furt se to pouziva jo? uz tehdy to byla on**ie :-)

Onanie to mozna je kdyz potrebujete remapovat UIDy na spravne uzivatele. V me skromne domaci siti jeste stiham vytvaret svuj osobni ucet jako prvni, takze UID 1000 je vzdy muj, vic nejak nepotrebuji od toho.

Tady se zrovna jednalo o sdilenou slozku pro gentoo distfiles - cache stazenych komponent.