我正在考虑在 RHEL 8.8 中使用端口 249 进行 NFS RDMA,使用secure要求端口低于 1024 的 NFS 导出选项。
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.txt
IANA 端口号列表将其 (249-255) 标识为bhfhs与 Jon Postel 的端口 248 相关或保留。
有人可以提供详细信息吗bhfhs?使用端口 249 现在或将来会带来什么问题吗?
这是否bhfhs与互联网早期的残余有关?
答案1
端口 248 由 Bell & Howell 的 John Kelly 注册bhfs。通常情况下,您在使用他注册的端口之前应该先与他联系。然而,该电子邮件已不再有效,不可能找到他。此外,尚无已知的 bhfs 实现。据我所知,它与贝尔和豪厄尔的某种缩微文件系统相关联,但我的记忆无法记清细节,甚至可能是错误的。
端口 249-255 由互联网之父 Jon Postel 保留。他于 1998 年 10 月去世,因此他将不再使用这些端口。参见 rfc2468。
使用未注册端口的问题是,其他人可能对使用该端口有相同的想法。这意味着,在某些(我承认是例外)情况下,您可能会遇到端口冲突。
如果这只是您管理的服务器上的配置,那么使用端口 249 应该不会有任何问题。
RedHat 关于“安全”选项的说法是:
安全选项是服务器端导出选项,用于限制导出到“保留”端口。默认情况下,服务器仅允许来自“保留”端口(端口号小于 1024)的客户端通信,因为传统上客户端只允许“受信任”代码(例如内核中的 NFS 客户端)使用这些端口。然而,在许多网络上,任何人成为某个客户端上的 root 并不困难,因此服务器假设来自保留端口的通信具有特权很少是安全的。因此,对保留端口的限制价值有限;最好依靠 Kerberos、防火墙和对特定客户端的导出限制。
请注意,这是从端口,而不是 RDMA 侦听的端口。
答案2
端口 249-255 是保留的,是的,但这与bhfhs.我可以看出演示文稿如何表明可能存在某种关系,但事实并非如此;查找其他“保留”条目,您会发现它们都遵循相同的模式。
使用端口 249 现在或将来都不会造成问题;由于这些端口已被保留,IANA 不太可能将它们分配给其他服务“官方”使用。