如何限制动物园管理员的端口范围以阻止连接

Question

我们的平台上有两个服务的港口冲突。其中一个服务是侦听端口45454，而另一个服务是一个动物园管理员服务器。

当侦听端口45454的服务重新启动，然后动物园管理员接受连接并使用相同的tcp端口45454时，就会出现问题。

有办法限制动物园管理员可以使用的港口吗？还是应该将侦听端口45454的服务更改为另一个(较低的)端口？

我环顾四周，试图搜索一个解决方案，但到目前为止，我在找到解决方案方面失败了。

谢谢,

Answer 1

要清除连接客户端>服务器，需要服务器上的侦听端口和客户端的随机临时端口。接受连接不需要额外的端口。

动物园管理员为客户端在2181上侦听(默认)，在2888、3888上侦听内部通信，没有冲突。最有可能是您的动物园管理员建立了与另一个节点的连接，在本地使用临时端口。

临时端口由内核从systctl - 范围的范围随机给出.我的现值是32768到60999。

解决方案

1. 降低冲突服务的端口号。
2. 添加保留的相互冲突的端口号(不被短期使用)- 端口 sysctl -w net.ipv4.ip_local_reserved_ports="45455“
3. 将临时端口范围更改为linux默认值为32768到60999 sysctl -w net.ipv4.ip_local_port_range="45455 60999“。