secure1024より低いポートを必要とするNFSエクスポートオプションを使用して、RHEL 8.8でNFS RDMAにポート249を使用することを検討しています。
https://www.iana.org/locationments/service-names-port-numbers/service-names-port-numbers.txt
IANAポート番号リストは、そのポート(249-255)がbhfhsJon Postelのポート248に関連付けられているか予約されていることを識別します。
誰でも詳細を提供できますかbhfhs?現在または将来のポート249の使用に問題がありますか?
これはbhfhsインターネット初期の残骸に関連しているのでしょうか?
ベストアンサー1
ポート248はBell&HowellのJohn Kellyによって登録されましたbhfs。通常、彼が登録したポートを使用する前に彼に連絡する必要があります。しかし、電子メールはもはや有効ではなく、彼を見つけることができません。また、既知のbhfs実装はありません。私が理解したところによると、それはBellとHowellのマイクロフィルムシステムの一種と関連していましたが、私の記憶は細部を捉えることができず、間違っているかもしれません。
ポート249-255は、インターネットの父親であるJon Postelによって予約されました。彼は1998年10月に亡くなったので、このポートを使用しなくなります。 rfc2468を参照してください。
登録されていないポートを使用する際の問題は、他の人がそのポートの使用について同じ考えを持つことができることです。これは、特定の(例外的ですが認識されている)状況でポートの競合が発生する可能性があることを意味します。
これが管理するサーバーの構成にすぎない場合は、ポート249の使用に問題がないはずです。
RedHatが「セキュリティ」オプションについて話す内容は次のとおりです。
セキュリティオプションは、「予約済み」ポートにエクスポートを制限するサーバー側のエクスポートオプションです。デフォルトでは、サーバーは「予約済み」ポート(1024未満のポート番号)からのクライアント通信のみを許可します。これは、クライアントが伝統的に「信頼できる」コード(カーネル内のNFSクライアントなど)のみがこれらのポートを使用できるようにするためです。ただし、多くのネットワークでは、誰もが一部のクライアントでルートになるのは難しくないため、サーバーが予約済みポートからの着信トラフィックに特権を持っていると仮定することはほとんど安全ではありません。したがって、予約済みポートの制限は制限されます。 Kerberos、ファイアウォール、および特定のクライアントのエクスポート制限を使用するのが最善です。
これは~からポートの代わりにRDMAがリッスンします。