开启CETOS 裸奔了一年的服务器开启firewall防火墙

记录一下关于firewall,博主非运维专家或服务器专家。

背景

客户有一台裸奔运行了一年多的系统有公网但发现没有开防火墙,iptables和firewall均是关闭状态,通过扫描发现很多漏洞。根据客户要求对端口进行重新梳理且关闭不必要或有潜在风险的端口、关闭swagger-ui接口等,但有一个前提就是不影响业务正常运行。经历了整一天挨个排错,终于全部解决。

服务器的系统用到了很多开源组件,如:MQ、MYSQL、MINIO、DOCKER、NGINX等。

CENTOS 7.X

首先梳理应用所有端口,然后配置firewall,整理出需要公网的端口并对外开放,有些敏感端口做映射、加用户名认证等方式,我主要做了如下操作:

常用的一些命令

bash 复制代码
#重新加载
sudo firewall-cmd --reload 
#列出当前所有配置
firewall-cmd --list-all
#开启
systemctl start firewalld
systemctl status firewalld
systemctl enable firewalld
systemctl stop firewalld

**

遇到的问题:

**

**切记禁用AllowZoneDrifting。**否则安装了Docker的应用会有莫名奇妙的网络问题。我发现Docker内部的网络与宿主机不同,比如宿主机可以ping 通内网192.168.11.10而Docker内部时而能ping通时而不行,最终定位是AllowZoneDrifting的问题。

引用一名博友对AllowZoneDrifting的解释:

系统上启用了AllowZoneDrifting选项。然而,这被认为是不安全的配置选项,并且在将来的版本中将会被删除。

AllowZoneDrifting选项允许firewalld根据检测到的网络配置更改动态地更改活动区域。也就是说,如果firewalld检测到网络接口在不同的区域之间漂移(例如,从一个公共网络切换到一个内部网络),它将自动将防火墙区域更改为与新网络接口匹配的区域。

然而,这种自动的区域漂移在安全性方面存在潜在的问题。攻击者可能利用此功能绕过安全策略,使系统暴露于不受保护的网络环境中。

禁用AllowZoneDrifting办法:

bash 复制代码
sudo vi /etc/firewalld/firewalld.conf

sudo systemctl reload firewalld
相关推荐
唯独失去了从容1 小时前
WebRTC服务器Coturn服务器的管理平台功能
运维·服务器·webrtc
roman_日积跬步-终至千里3 小时前
【K8s基础】K8s下的Helm和Operator:包管理器与运维程序化
运维·容器·kubernetes
PassLink_5 小时前
[Kaggle]:使用Kaggle服务器训练YOLOv5模型 (白嫖服务器)
运维·服务器·yolo
朴拙数科5 小时前
MongoDB Atlas与MongoDB连接MCP服务器的区别解析
服务器·数据库·mongodb
极小狐6 小时前
极狐GitLab 合并请求依赖如何解决?
运维·git·ssh·gitlab·github
程序猿(雷霆之王)6 小时前
Linux——进程间通信
linux·运维·服务器
NoneCoder8 小时前
HTML 模板技术与服务端渲染
服务器·servlet·html
Cloud_Air7548 小时前
从零开始使用SSH链接目标主机(包括Github添加SSH验证,主机连接远程机SSH验证)
运维·ssh
李詹8 小时前
Steam游戏服务器攻防全景解读——如何构建游戏级抗DDoS防御体系?
服务器·游戏·ddos
你熬夜了吗?8 小时前
spring中使用netty-socketio部署到服务器(SSL、nginx转发)
服务器·websocket·spring·netty·ssl