在 CentOS 6.4 和 6.3 上,我看到 puppet 经常使用低于 32768 的端口。这与内核分配的端口设置相反:
cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
我的无状态防火墙阻止了 Puppet 进程示例:
ruby 24488 root 3u IPv4 1844198 0t0 UDP 172.16.10.156:13346->172.16.10.2:domain
我想修复这个问题,以便能够在无状态防火墙中选择一个不需要“全球可写”的范围。
编辑:Puppet 版本 3.1.1 和 Ruby 1.8.7
答案1
为什么你的防火墙关心来源传入连接/UDP 数据包的端口?正确的解决方法是不要关心这些,只为重要的事情添加规则:允许流量到 UDP 目标端口 53,而不管源端口是什么。
答案2
可能/proc/sys/net/ipv4/ip_local_port_range是在 puppet 代理守护进程启动后设置的。请重新启动守护进程进行检查。