转载]xManager与防火墙的问题解决过程文章作者:天天
最近部门进了一台V880R,用CDE,放在DMZ区,这样的话,如果要用X-manager访问的话就要涉及到防火墙的规则问题。
我们先打开X-manager连接到V880R(这个时候防火墙是设为permit ip any any),然后用netstat 看端口的状态,可没想到看了
两台机,感觉client机的端口6000,6001好像是固定的,而Xserver的端口是30000之后,有点随机性质的。
后来因为时间关系不了了之了,昨晚查资料,才知道unix桌面系统使用X协议, Xmanager连接到指定的sun服务器上去.
是在使用一种XDMCP(X显示器管理协议)方式进行连接的.
然后查阅协议的情况才知道1。XDMCP是基于广播的,只能在一个网内起作用,不能进行跨路由访问的.
2。那有没有比如XDMCP over IP之类的方法进行远程桌面连接呢?
解决这个问题,用一台机器做为xclient, 然后在服务器端跑DISPALY=x.x.x.x:0.0;
export DISLPLAY 和xhost 就行
3。然后就是真正的问题所在就是防火墙的端口的问题
XDMCP用UDP 177端口
X用TCP 6000 端口
X Font用TCP 7100端口
4。工作过程:和一般的TCP应用不一样的地方在于,一般TCP/UDP应用是客户端如WINDOWS用非特权端口 (>1024的端口)
向服务器端如SORARIS的众所周知端口(<1024的端口)发起通信,而X-EMLUATOR如X-WIN32,X-MANAGER的工作原理是在WINDOWS的TCP 6000端口上起一个XSERVER,然后通过UDP向真正的XSERVER(如SOLARIS的CDE)的UDP177端口发出查询,将DISPLAY导到WINDOWS的TCP 6000端口上,以实现远程X的Xmanager、Xwin32
5。要通过路由器、防火墙的话,要保证这样的规则(Cisco Pix 525 config):
access-list 101 permit tcp any eq 6000 any
access-list 101 permit udp any eq 6000 any
access-list 101 permit udp any any eq 177
access-group 101 in interface outside
Enable=true
Port=177
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 177 -j ACCEPT
即打开177端口。或者关闭防火墙,但不推荐这么做。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8013558/viewspace-1028637/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/8013558/viewspace-1028637/
扫一扫
989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
