資訊專欄INFORMATION COLUMN
摘要:通常情況下,防火墻規則是立即生效的。在這種場景,防火墻生效最多需要兩分鐘。防火墻未立即生效的補救措施防火墻未立即生效的補救措施如上面所提到的場景,其端口為。
請確認以下2點: (1) 防火墻規則已經應用到該臺主機 (2) 主機內部iptables已經關閉. 端口是否打開可以通過nc命令查看,例如 nc -nv 10.3.1.2 22, 若端口已打開而服務不可用,請檢查服務是否正常運行。
還有一種造成無法訪問的情況是,ISP運營商由于高危端口等原因而主動封禁了某些端口,例如445端口。 目前從運營商處反饋的端口封鎖列表有:
TCP:42,135,137,138,139,445,593,1025,1068,1434,3127,3130,3332,4444,5554,6669,9996,12345,31337,54321
UDP:135,445,593,1026,1027,1068,1434,4444,5554,9996
請確認以下兩點: (1) 防火墻規則已經允許icmp,并應用到主機 (2) 主機內部iptables已經關閉
源IP寫: 0.0.0.0/0
如果能獲得惡意用戶的訪問IP,可以在主機防火墻中添加一條包含該源IP的阻止(Drop)規則
支持,網絡ACL可實現子網級別的安全隔離。
UCloud的內網使用了軟件定義網絡(SDN)技術,以此來實現不同用戶主機間的內網隔離
用戶在使用防火墻的時候,有時會遇到修改后規則不生效的問題。這個原因是因為tcp長連接導致的。
通常情況下,防火墻規則是立即生效的。但某些場景下,防火墻場景并不會立即生效。
以Nginx為例,Nginx會在觸發keepalive_timeout(默認為65秒)之后,發送FIN包,讓nf_conntrack_tcp_timeout_established不再起作用,轉而觸發nf_conntrack_tcp_timeout_time_wait的規則,而它的默認規則為120秒。
在這種場景,防火墻生效最多需要兩分鐘。
而對于類似于MySQL的長連接場景,由于nf_conntrack_tcp_timeout_established這個系統內核及參數設置其默認的失效時間為5天,這種場景一旦連接建立,通過修改防火墻的方式很難立即阻斷連接。
防火墻未立即生效的補救措施:如上面所提到的MySQL場景,其端口為3306。假設為了能夠阻斷來自于1.2.3.4的連接,可以在云主機中使用iptables的"RAW"表進行處理。
iptables -t raw -I PREROUTING -s 1.2.3.4 -p tcp -m tcp --dport 3306 -j DROP該方法之所以能夠生效,是因為Linux系統的Netfilter中,在PREROUTING以及OUTPUT這兩個HOOK的conntrack之前,安插了一個優先級更高的RAW表。通過RAW表,就可以分離出不需要被conntrack的流量了。
防火墻不會阻斷已建立的連接,所以不受防火墻影響
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/127047.html
摘要:防火墻默認規則除已開通端口外,其他端口默認關閉。注意外網防火墻僅對來自外網的彈性的訪問生效。協議目前防火墻協議支持及協議。動作防火墻生效時,對數據包的處理行為,包含接受拒絕兩種動作。注意防火墻至少需要保留一條規則,因為全選時刪除按鈕不可用。 使用指南推薦防火墻為了給用戶提供使用上的便捷,控制臺上提供了兩個默認的推薦防火墻,分別是Web服務器推薦與非Web服務器推薦,兩者之間除Web服務器推薦...
摘要:概覽概覽外網彈性產品簡介操作指南共享帶寬產品簡介操作指南帶寬包產品簡介操作指南防火墻產品簡介操作指南轉換功能產品簡介原理架構操作指南產品價格計費總覽流量價格帶寬價格帶寬后付費價格共享帶寬價格地址價格帶寬包價格轉換價格計費說明資源過期回收故 概覽外網彈性IP產品簡介操作指南共享帶寬產品簡介操作指南帶寬包 產品簡介操作指南防火墻產品簡介操作指南IPv6轉換功能產品簡介原理架構操作指南產品價格EI...
摘要:云主機管理外網彈性主機的外網帶寬,外網信息,集中在關聯產品外網彈性中管理。云主機可綁定多個,并設置出口。云主機外網訪問配置因架構原因,大數據機型無法通過進行外網訪問。云主機UHost:管理外網彈性IP主機的外網帶寬,外網IP信息,集中在關聯產品——外網彈性IP(EIP)中管理。云主機可綁定多個EIP,并設置出口。此外,此處也可修改EIP帶寬。修改EIP帶寬無需重啟,立即生效。備注:彈性IP是...
摘要:除此之外,還可以在全部產品基礎網絡彈性頁面,點擊申請按鈕進行申請。對于彈性的帶寬,用戶可以根據需求任意升降級,并可以在不停止服務的情況下實時生效,實現網絡的彈性。 操作指南本篇目錄申請彈性IP綁定/解綁外網彈性IP調整IP帶寬設置主機主動對外訪問出口釋放彈性IP更改彈性IP計費方式申請彈性IP通常在申請云主機(UHost)或負載均衡(ULB)時,同時會申請一個外網彈性IP,并將該IP與所申請...
摘要:操作指南操作指南操作指南本篇目錄創建共享帶寬創建共享帶寬刪除共享帶寬刪除共享帶寬調整共享帶寬值調整共享帶寬值創建共享帶寬創建共享帶寬創建共享帶寬在產品與服務下的基礎網絡中,選擇共享帶寬標簽,進入共享帶寬管理頁面。 操作指南本篇目錄創建共享帶寬刪除共享帶寬調整共享帶寬值創建共享帶寬1) 在 產品與服務 下的 基礎網絡UNet 中,選擇 共享帶寬 標簽,進入共享帶寬管理頁面。點擊創建共享帶寬 按...
閱讀 283·2024-11-07 18:25
閱讀 130359·2024-02-01 10:43
閱讀 865·2024-01-31 14:58
閱讀 828·2024-01-31 14:54
閱讀 82765·2024-01-29 17:11
閱讀 3047·2024-01-25 14:55
閱讀 1985·2023-06-02 13:36
閱讀 3032·2023-05-23 10:26
