摘要:通常情況下�,防火墻規(guī)則是立即生效的��。在這種場景�,防火墻生效最多需要兩分鐘。防火墻未立即生效的補救措施防火墻未立即生效的補救措施如上面所提到的場景���,其端口為��。
本篇目錄
為何防火墻已經(jīng)打開某端口, 但還是連不上?為什么主機無法ping通?如何將某端口對所有IP開放?如何限制某些惡意用戶對我主機的訪問?內(nèi)網(wǎng)是否有ACL功能?我的內(nèi)網(wǎng)主機如何與其他人的主機隔離?修改防火墻以后���,新規(guī)則會即時生效嗎��?修改防火墻以后����,原先已建立的連接會受到什么影響?請確認(rèn)以下2點: (1) 防火墻規(guī)則已經(jīng)應(yīng)用到該臺主機 (2) 主機內(nèi)部iptables已經(jīng)關(guān)閉. 端口是否打開可以通過nc命令查看,例如 nc
-nv 10.3.1.2 22����, 若端口已打開而服務(wù)不可用,請檢查服務(wù)是否正常運行�。
還有一種造成無法訪問的情況是,ISP運營商由于高危端口等原因而主動封禁了某些端口���,例如445端口��。 目前從運營商處反饋的端口封鎖列表有:
TCP:42,135,137,138,139,445,593,1025,1068,1434,3127,3130,3332,4444,5554,6669,9996,12345,31337,54321
UDP:135,445,593,1026,1027,1068,1434,4444,5554,9996
請確認(rèn)以下兩點: (1) 防火墻規(guī)則已經(jīng)允許icmp�����,并應(yīng)用到主機 (2) 主機內(nèi)部iptables已經(jīng)關(guān)閉
源IP寫: 0.0.0.0/0
如果能獲得惡意用戶的訪問IP����,可以在主機防火墻中添加一條包含該源IP的阻止(Drop)規(guī)則
支持,網(wǎng)絡(luò)ACL可實現(xiàn)子網(wǎng)級別的安全隔離�。
UCloud的內(nèi)網(wǎng)使用了軟件定義網(wǎng)絡(luò)(SDN)技術(shù),以此來實現(xiàn)不同用戶主機間的內(nèi)網(wǎng)隔離
用戶在使用防火墻的時候���,有時會遇到修改后規(guī)則不生效的問題��。這個原因是因為tcp長連接導(dǎo)致的����。
通常情況下,防火墻規(guī)則是立即生效的�����。但某些場景下�,防火墻場景并不會立即生效。
以Nginx為例�,Nginx會在觸發(fā)keepalive_timeout(默認(rèn)為65秒)之后��,發(fā)送FIN包���,讓nf_conntrack_tcp_timeout_established不再起作用��,轉(zhuǎn)而觸發(fā)nf_conntrack_tcp_timeout_time_wait的規(guī)則����,而它的默認(rèn)規(guī)則為120秒��。
在這種場景���,防火墻生效最多需要兩分鐘�����。
而對于類似于MySQL的長連接場景�����,由于nf_conntrack_tcp_timeout_established這個系統(tǒng)內(nèi)核及參數(shù)設(shè)置其默認(rèn)的失效時間為5天���,這種場景一旦連接建立��,通過修改防火墻的方式很難立即阻斷連接�����。
防火墻未立即生效的補救措施:如上面所提到的MySQL場景,其端口為3306����。假設(shè)為了能夠阻斷來自于1.2.3.4的連接,可以在云主機中使用iptables的"RAW"表進行處理�。
iptables -t raw -I PREROUTING -s 1.2.3.4 -p tcp -m tcp --dport 3306 -j DROP
該方法之所以能夠生效,是因為Linux系統(tǒng)的Netfilter中���,在PREROUTING以及OUTPUT這兩個HOOK的conntrack之前����,安插了一個優(yōu)先級更高的RAW表。通過RAW表�,就可以分離出不需要被conntrack的流量了。
防火墻不會阻斷已建立的連接,所以不受防火墻影響
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/127047.html
