azurepancake's questions

我有一块硬件，我正在尝试 PXE 引导。目前，它通过 PXE 启动，DHCP 将 TCP/IP 数据租给端点，然后通过一些 iPXE 固件将其转到“下一个服务器”到 TFTP。

它会在端口 69 上建立 TFTP 连接并开始尝试传输固件。这是我遇到问题的地方，因为它尝试的“返回”端口被我们的公司防火墙阻止。

这是netstat在 TFTP 服务器上的那个时刻拍摄的：

# netstat -tunap | grep tftp
udp        0      0 10.254.52.26:45140      10.55.32.175:2073       ESTABLISHED 25115/in.tftpd
udp        0      0 10.254.52.26:53684      10.55.32.175:2072       ESTABLISHED 25108/in.tftpd

它似乎总是在端点上尝试端口 2073 和 2072。非常一致。

但是，如果我从同一端点上的磁盘加载操作系统并使用 TFTP 客户端进行连接（atftp在这种情况下），它会建立连接并下载没有问题。这是其中netstat的：

# netstat -tunap | grep tftp
udp        0      0 10.254.52.26:50986      10.55.32.175:44669      ESTABLISHED 26500/in.tftpd
udp        0      0 10.254.52.26:54390      10.55.32.175:44669      ESTABLISHED 26484/in.tftpd

在这种情况下，它使用的端口号通常在 40000 以上，这是我们的防火墙允许的。这也是非常一致的。

我可以请求打开一些额外的端口，但是我真的很想了解它为什么会这样。这和客户有关系吗？这是在这种情况下似乎唯一发生变化的事情（PXE 客户端固件与atftp操作系统上的客户端）。

任何人可以提供的理解将不胜感激。

我正在尝试firewalld第一次设置。我想添加两种类型的规则：

• 仅允许具有特定来源的特定端口上的流量的规则。
• 允许来自特定来源的所有流量的规则。

假设我创建了一个名为“myZone”的新区域。我想允许来自 的所有流量10.95.0.0/16，但只允许来自 的 LDAP 相关流量10.96.59.23。

所以我将来源添加到“myZone”：

firewall-cmd --permanent --zone=myZone --add-source=10.95.0.0/16
firewall-cmd --permanent --zone=myZone --add-source=10.96.59.23

现在是时候添加我想要允许流量的 LDAP 端口了：

firewall-cmd --zone=myZone --add-port=389/tcp

但是，这究竟会做什么？我想这适用于“myZone”中的所有来源？我只想限制10.96.59.23LDAP 流量，但允许10.95.0.0/16. 我有一种感觉，我在这里遗漏了一些基本的东西。

从理论上讲，我认为我可以创建两个区域，比如说“workstationZone”和“ldapZone”。然后我可以将端口 389 分配给“ldapZone”。但是，我似乎无法将多个区域分配给单个接口。

# firewall-cmd --zone workstationZone --add-interface ens32 --permanent
success
# firewall-cmd --zone ldapZone --add-interface ens32 --permanent
success
#firewall-cmd --get-active-zones
workstationZone
  interfaces: ens32
  sources: 10.95.0.0/16
ldapZone
  sources: 10.96.59.23

我希望在上面我的“ens32”界面将被添加到两个区域。

我看到的另一个选择是使用“丰富的规则”，但是由于它们难以维护，似乎有很多建议避免使用它们。

再一次，我觉得我错过了一些完全基本的东西，但即使在阅读了几本指南之后，我还是不明白。如果有人可以帮助我直截了当，将不胜感激。