摘要:通常情況下�����,防火墻規(guī)則是立即生效的�����。在這種場(chǎng)景��,防火墻生效最多需要兩分鐘��。防火墻未立即生效的補(bǔ)救措施防火墻未立即生效的補(bǔ)救措施如上面所提到的場(chǎng)景�����,其端口為����。
本篇目錄
為何防火墻已經(jīng)打開某端口, 但還是連不上?為什么主機(jī)無(wú)法ping通?如何將某端口對(duì)所有IP開放?如何限制某些惡意用戶對(duì)我主機(jī)的訪問(wèn)?內(nèi)網(wǎng)是否有ACL功能?我的內(nèi)網(wǎng)主機(jī)如何與其他人的主機(jī)隔離?修改防火墻以后��,新規(guī)則會(huì)即時(shí)生效嗎����?修改防火墻以后�����,原先已建立的連接會(huì)受到什么影響�?請(qǐng)確認(rèn)以下2點(diǎn): (1) 防火墻規(guī)則已經(jīng)應(yīng)用到該臺(tái)主機(jī) (2) 主機(jī)內(nèi)部iptables已經(jīng)關(guān)閉. 端口是否打開可以通過(guò)nc命令查看,例如 nc
-nv 10.3.1.2 22����, 若端口已打開而服務(wù)不可用,請(qǐng)檢查服務(wù)是否正常運(yùn)行�。
還有一種造成無(wú)法訪問(wèn)的情況是,ISP運(yùn)營(yíng)商由于高危端口等原因而主動(dòng)封禁了某些端口����,例如445端口����。 目前從運(yùn)營(yíng)商處反饋的端口封鎖列表有:
TCP:42,135,137,138,139,445,593,1025,1068,1434,3127,3130,3332,4444,5554,6669,9996,12345,31337,54321
UDP:135,445,593,1026,1027,1068,1434,4444,5554,9996
請(qǐng)確認(rèn)以下兩點(diǎn): (1) 防火墻規(guī)則已經(jīng)允許icmp����,并應(yīng)用到主機(jī) (2) 主機(jī)內(nèi)部iptables已經(jīng)關(guān)閉
源IP寫: 0.0.0.0/0
如果能獲得惡意用戶的訪問(wèn)IP,可以在主機(jī)防火墻中添加一條包含該源IP的阻止(Drop)規(guī)則
支持���,網(wǎng)絡(luò)ACL可實(shí)現(xiàn)子網(wǎng)級(jí)別的安全隔離�����。
UCloud的內(nèi)網(wǎng)使用了軟件定義網(wǎng)絡(luò)(SDN)技術(shù)��,以此來(lái)實(shí)現(xiàn)不同用戶主機(jī)間的內(nèi)網(wǎng)隔離
用戶在使用防火墻的時(shí)候���,有時(shí)會(huì)遇到修改后規(guī)則不生效的問(wèn)題。這個(gè)原因是因?yàn)閠cp長(zhǎng)連接導(dǎo)致的�。
通常情況下,防火墻規(guī)則是立即生效的����。但某些場(chǎng)景下,防火墻場(chǎng)景并不會(huì)立即生效��。
以Nginx為例�,Nginx會(huì)在觸發(fā)keepalive_timeout(默認(rèn)為65秒)之后�,發(fā)送FIN包,讓nf_conntrack_tcp_timeout_established不再起作用����,轉(zhuǎn)而觸發(fā)nf_conntrack_tcp_timeout_time_wait的規(guī)則����,而它的默認(rèn)規(guī)則為120秒����。
在這種場(chǎng)景,防火墻生效最多需要兩分鐘���。
而對(duì)于類似于MySQL的長(zhǎng)連接場(chǎng)景�,由于nf_conntrack_tcp_timeout_established這個(gè)系統(tǒng)內(nèi)核及參數(shù)設(shè)置其默認(rèn)的失效時(shí)間為5天����,這種場(chǎng)景一旦連接建立,通過(guò)修改防火墻的方式很難立即阻斷連接����。
防火墻未立即生效的補(bǔ)救措施:如上面所提到的MySQL場(chǎng)景,其端口為3306�。假設(shè)為了能夠阻斷來(lái)自于1.2.3.4的連接,可以在云主機(jī)中使用iptables的"RAW"表進(jìn)行處理����。
iptables -t raw -I PREROUTING -s 1.2.3.4 -p tcp -m tcp --dport 3306 -j DROP
該方法之所以能夠生效,是因?yàn)長(zhǎng)inux系統(tǒng)的Netfilter中�,在PREROUTING以及OUTPUT這兩個(gè)HOOK的conntrack之前��,安插了一個(gè)優(yōu)先級(jí)更高的RAW表���。通過(guò)RAW表,就可以分離出不需要被conntrack的流量了��。
防火墻不會(huì)阻斷已建立的連接����,所以不受防火墻影響
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/127047.html
