资讯专栏INFORMATION COLUMN

防火墙 基础网络 UNet

ernest.wang / 2441人阅读

摘要:通常情况下,防火墙规则是立即生效的。在这种场景,防火墙生效最多需要两分钟。防火墙未立即生效的补救措施防火墙未立即生效的补救措施如上面所提到的场景,其端口为。

防火墙

本篇目录

为何防火墙已经打开某端口, 但还是连不上?为什么主机无法ping通?如何将某端口对所有IP开放?如何限制某些恶意用户对我主机的访问?内网是否有ACL功能?我的内网主机如何与其他人的主机隔离?修改防火墙以后,新规则会即时生效吗?修改防火墙以后,原先已建立的连接会受到什么影响?

为何防火墙已经打开某端口, 但还是连不上?

请确认以下2点: (1) 防火墙规则已经应用到该台主机 (2) 主机内部iptables已经关闭. 端口是否打开可以通过nc命令查看,例如 nc -nv 10.3.1.2 22, 若端口已打开而服务不可用,请检查服务是否正常运行。

还有一种造成无法访问的情况是,ISP运营商由于高危端口等原因而主动封禁了某些端口,例如445端口。 目前从运营商处反馈的端口封锁列表有:

TCP:42,135,137,138,139,445,593,1025,1068,1434,3127,3130,3332,4444,5554,6669,9996,12345,31337,54321

UDP:135,445,593,1026,1027,1068,1434,4444,5554,9996

为什么主机无法ping通?

请确认以下两点: (1) 防火墙规则已经允许icmp,并应用到主机 (2) 主机内部iptables已经关闭

如何将某端口对所有IP开放?

源IP写: 0.0.0.0/0

如何限制某些恶意用户对我主机的访问?

如果能获得恶意用户的访问IP,可以在主机防火墙中添加一条包含该源IP的阻止(Drop)规则

内网是否有ACL功能?

支持,网络ACL可实现子网级别的安全隔离。

我的内网主机如何与其他人的主机隔离?

UCloud的内网使用了软件定义网络(SDN)技术,以此来实现不同用户主机间的内网隔离

修改防火墙以后,新规则会即时生效吗?

用户在使用防火墙的时候,有时会遇到修改后规则不生效的问题。这个原因是因为tcp长连接导致的。

通常情况下,防火墙规则是立即生效的。但某些场景下,防火墙场景并不会立即生效。

以Nginx为例,Nginx会在触发keepalive_timeout(默认为65秒)之后,发送FIN包,让nf_conntrack_tcp_timeout_established不再起作用,转而触发nf_conntrack_tcp_timeout_time_wait的规则,而它的默认规则为120秒。

在这种场景,防火墙生效最多需要两分钟。

而对于类似于MySQL的长连接场景,由于nf_conntrack_tcp_timeout_established这个系统内核及参数设置其默认的失效时间为5天,这种场景一旦连接建立,通过修改防火墙的方式很难立即阻断连接。

防火墙未立即生效的补救措施:

如上面所提到的MySQL场景,其端口为3306。假设为了能够阻断来自于1.2.3.4的连接,可以在云主机中使用iptables的"RAW"表进行处理。

iptables -t raw -I PREROUTING -s 1.2.3.4 -p tcp -m tcp --dport 3306 -j DROP

该方法之所以能够生效,是因为Linux系统的Netfilter中,在PREROUTING以及OUTPUT这两个HOOK的conntrack之前,安插了一个优先级更高的RAW表。通过RAW表,就可以分离出不需要被conntrack的流量了。

修改防火墙以后,原先已建立的连接会受到什么影响?

防火墙不会阻断已建立的连接,所以不受防火墙影响

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/127047.html

相关文章

  • 使用指南 基础网络 UNet

    摘要:防火墙默认规则除已开通端口外,其他端口默认关闭。注意外网防火墙仅对来自外网的弹性的访问生效。协议目前防火墙协议支持及协议。动作防火墙生效时,对数据包的处理行为,包含接受拒绝两种动作。注意防火墙至少需要保留一条规则,因为全选时删除按钮不可用。 使用指南推荐防火墙为了给用户提供使用上的便捷,控制台上提供了两个默认的推荐防火墙,分别是Web服务器推荐与非Web服务器推荐,两者之间除Web服务器推荐...

    ernest.wang 评论0 收藏157
  • 概览 基础网络 UNet

    摘要:概览概览外网弹性产品简介操作指南共享带宽产品简介操作指南带宽包产品简介操作指南防火墙产品简介操作指南转换功能产品简介原理架构操作指南产品价格计费总览流量价格带宽价格带宽后付费价格共享带宽价格地址价格带宽包价格转换价格计费说明资源过期回收故 概览外网弹性IP产品简介操作指南共享带宽产品简介操作指南带宽包 产品简介操作指南防火墙产品简介操作指南IPv6转换功能产品简介原理架构操作指南产品价格EI...

    ernest.wang 评论0 收藏292
  • 【云主机 UHost】操作指南:[网络]管理外网弹性IP、更换火墙管理和外网访问配置

    摘要:云主机管理外网弹性主机的外网带宽,外网信息,集中在关联产品外网弹性中管理。云主机可绑定多个,并设置出口。云主机外网访问配置因架构原因,大数据机型无法通过进行外网访问。云主机UHost:管理外网弹性IP主机的外网带宽,外网IP信息,集中在关联产品——外网弹性IP(EIP)中管理。云主机可绑定多个EIP,并设置出口。此外,此处也可修改EIP带宽。修改EIP带宽无需重启,立即生效。备注:弹性IP是...

    Tecode 评论0 收藏0
  • 操作指南 基础网络 UNet

    摘要:除此之外,还可以在全部产品基础网络弹性页面,点击申请按钮进行申请。对于弹性的带宽,用户可以根据需求任意升降级,并可以在不停止服务的情况下实时生效,实现网络的弹性。 操作指南本篇目录申请弹性IP绑定/解绑外网弹性IP调整IP带宽设置主机主动对外访问出口释放弹性IP更改弹性IP计费方式申请弹性IP通常在申请云主机(UHost)或负载均衡(ULB)时,同时会申请一个外网弹性IP,并将该IP与所申请...

    ernest.wang 评论0 收藏3228
  • 操作指南 基础网络 UNet

    摘要:操作指南操作指南操作指南本篇目录创建共享带宽创建共享带宽删除共享带宽删除共享带宽调整共享带宽值调整共享带宽值创建共享带宽创建共享带宽创建共享带宽在产品与服务下的基础网络中,选择共享带宽标签,进入共享带宽管理页面。 操作指南本篇目录创建共享带宽删除共享带宽调整共享带宽值创建共享带宽1) 在 产品与服务 下的 基础网络UNet 中,选择 共享带宽 标签,进入共享带宽管理页面。点击创建共享带宽 按...

    ernest.wang 评论0 收藏1196

发表评论

0条评论

ernest.wang

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<