xmanger防火牆[@more@]

轉載]xManager與防火牆的問題解決過程文章作者：天天

最近部門進了一臺V880R，用CDE，放在DMZ區，這樣的話，如果要用X－manager訪問的話就要涉及到防火牆的規則問題。
我們先開啟X－manager連線到V880R（這個時候防火牆是設為permit ip any any)，然後用netstat　看埠的狀態，可沒想到看了
兩臺機，感覺client機的埠6000,6001好像是固定的，而Xserver的埠是30000之後，有點隨機性質的。
後來因為時間關係不了了之了，昨晚查資料，才知道unix桌面系統使用X協議, Xmanager連線到指定的sun伺服器上去.
是在使用一種XDMCP(X顯示器管理協議)方式進行連線的.
然後查閱協議的情況才知道1。XDMCP是基於廣播的，只能在一個網內起作用，不能進行跨路由訪問的.
2。那有沒有比如XDMCP over IP之類的方法進行遠端桌面連線呢?
解決這個問題，用一臺機器做為xclient, 然後在伺服器端跑DISPALY=x.x.x.x:0.0;
export DISLPLAY 和xhost 就行
3。然後就是真正的問題所在就是防火牆的埠的問題　
XDMCP用UDP 177埠
X用TCP 6000 埠
X Font用TCP 7100埠

4。工作過程：和一般的TCP應用不一樣的地方在於，一般TCP/UDP應用是客戶端如WINDOWS用非特權埠（>1024的埠）
向伺服器端如SORARIS的眾所周知埠（<1024的埠）發起通訊，而X-EMLUATOR如X-WIN32,X-MANAGER的工作原理是在WINDOWS的TCP 6000埠上起一個XSERVER，然後透過UDP向真正的XSERVER（如SOLARIS的CDE）的UDP177埠發出查詢，將DISPLAY導到WINDOWS的TCP 6000埠上，以實現遠端X的Xmanager、Xwin32
5。要透過路由器、防火牆的話，要保證這樣的規則（Cisco Pix 525 config）：
access-list 101 permit tcp any eq 6000 any
access-list 101 permit udp any eq 6000 any
access-list 101 permit udp any any eq 177
access-group 101 in interface outside

第一步，在Linux系統下，修改/etc/X11/xdm/Xaccess檔案，找到下面的語句：# * #any host can get a login window，去掉這一行最前面的#號，成為：* #any host can get a login window

第二步，修改/etc/X11/xdm/xdm-config的最後一行，在DisplayManager.requestPort:0前面加上一個！號，結果如下 !DisplayManager.requestPort:0

第三步，修改/etc/gdm/custom.conf檔案。如果你的系統沒有custom.conf這個檔案，請查詢這個檔案/etc/X11/gdm/gdm.conf 。找到下面的語句：[xdmcp],在這句下面加上以下兩行:
Enable=true
Port=177

第四步，要修改/etc/inittab檔案，將下面的語句：id:3:initdefault: 修改為 id:5:initdefault: 。如果已經是 id:5:initdefault: 就不用改了。

第五步，修改確保/etc/X11/xdm/Xservers的屬性為444，/etc/X11/xdm/Xsetup_0的屬性為755。在RedHat 9.0中，我們可以看到這兩個檔案預設的屬性就是444和775，因此不用修改。這兩個檔案屬性一定要符合這個要求！

第六步，如果你的Linux機器配置有防火牆，為防止防火牆將透過177埠（即xdmcp服務）的資料過慮，我們必須加上如下的規則：
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 177 -j ACCEPT
即開啟177埠。或者關閉防火牆，但不推薦這麼做。

最後，下載xmanger安裝到你的windows機器上。安裝後，在安裝目錄下，點選xconfig，選擇xdm，如下圖，選擇”XDM Indirect”,在 host：後面填上我們已經配置好的Linux系統的ip，注意下面的XDMCP Port:177, 這就是我們在配置Linux伺服器時必須保證 Port＝177的原因。

xmanager之linux 解決方法

相關文章