这里写目录标题
- 前言
- 一、FirewalldIP端口限制
-
- [1.1 确认启动状态](#1.1 确认启动状态)
- [1.2 启动Firewalld](#1.2 启动Firewalld)
- [1.3 查看当前连接到Nacos的IP](#1.3 查看当前连接到Nacos的IP)
- [1.4 添加访问规则](#1.4 添加访问规则)
- [1.5 重新加载配置](#1.5 重新加载配置)
- [1.6 查看当前活动的规则列表](#1.6 查看当前活动的规则列表)
- [1.7 移除某个规则](#1.7 移除某个规则)
- [二、Firewalld 开放端口](#二、Firewalld 开放端口)
-
- [2.1 开放 6379端口](#2.1 开放 6379端口)
- [2.2 重新加载防火墙](#2.2 重新加载防火墙)
- [2.3 验证规则](#2.3 验证规则)
- 三、Iptables限制ip端口(未验证)
-
- [3.1 添加规则允许特定IP访问Nacos服务:](#3.1 添加规则允许特定IP访问Nacos服务:)
- [3.2 保存 iptables 规则](#3.2 保存 iptables 规则)
- [3.3 解决浏览器无法访问Nacos页面的问题](#3.3 解决浏览器无法访问Nacos页面的问题)
- 总结
前言
在服务器管理中,防火墙是保护系统安全的重要工具。通常,我们可能会关闭firewalld,但在某些情况下,我们需要利用firewalld或iptables来限制IP请求。本文将详细介绍如何使用firewalld和iptables来实现IP端口限制与开放。
一、FirewalldIP端口限制
1.1 确认启动状态
首先,我们需要确认firewalld的启动状态
shell
sudo systemctl status firewalld1.2 启动Firewalld
如果firewalld未启动,执行以下命令启动:
shell
sudo systemctl start firewalld1.3 查看当前连接到Nacos的IP
以Nacos为例,查看当前连接到Nacos的IP:
shell
netstat -antp | grep ':8848' | awk '{print $5}' | cut -d':' -f1 | sort | uniq此处查询的ip仅供参考,可作为梳理后的补充
1.4 添加访问规则
添加访问规则,允许特定IP访问Nacos服务:
shell
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.1.1.3" port port=8848 protocol=tcp accept'其中,address是需要连接到Nacos的服务器的IP(内网/弹性都要加),port指定Nacos端口。多个IP可多次执行上面代码。
1.5 重新加载配置
添加规则后,重新加载配置:
shell
sudo firewall-cmd --reload1.6 查看当前活动的规则列表
查看当前活动的规则列表:
shell
sudo firewall-cmd --list-all输出示例:
public (active)
target: default
icmp-block-inversion: no
interfaces: ens3
sources:
services: cockpit dhcpv6-client mdns ssh
ports: 8848/tcp 6379/tcp 8012/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="172.1.1.1" port port="8848" protocol="tcp" accept
rule family="ipv4" source address="172.1.1.2" port port="8848" protocol="tcp" accept
rule family="ipv4" source address="172.1.1.3" port port="8848" protocol="tcp" accept
rule family="ipv4" source address="172.1.1.4" port port="8848" protocol="tcp" accept
1.7 移除某个规则
1.查看当前的rich rules
bash
sudo firewall-cmd --list-rich-rules- 移除 rich rule
bash
sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="172.1.1.4" port port="8848" protocol="tcp" accept'- 重新加载防火墙
bash
sudo firewall-cmd --reload- 验证规则是否已移除
bash
sudo firewall-cmd --list-rich-rules二、Firewalld 开放端口
上一节是针对ip开放端口,那么如何直接开放端口,所有ip都可访问?
2.1 开放 6379端口
bash
sudo firewall-cmd --permanent --add-port=6379/tcp2.2 重新加载防火墙
添加完规则后,需要重新加载防火墙以使更改生效:
bash
sudo firewall-cmd --reload2.3 验证规则
您可以通过以下命令来验证当前的防火墙规则,确保 Redis 的端口已经被成功开放:
bash
sudo firewall-cmd --list-all三、Iptables限制ip端口(未验证)
3.1 添加规则允许特定IP访问Nacos服务:
bash
sudo iptables -A INPUT -p tcp -s 172.16.17.33 --dport 8848 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 8848 -s 172.16.61.83 -j ACCEPT3.2 保存 iptables 规则
Ubuntu/Debian:
bash
sudo iptables-save > /etc/iptables.up.rulesCentOS/RHEL:
bash
sudo service iptables save3.3 解决浏览器无法访问Nacos页面的问题
添加完规则之后,可能浏览器依然无法访问Nacos页面,并且对应服务器可能ping通,但curl无法访问。可能是因为有一条规则导致的,去掉后可以正常访问。
bash
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited总结
在服务器管理中,梳理清楚当前服务器有哪些需要对外访问的服务非常重要。类似1.3中查看连接IP并不全面,因此需要结合实际情况进行规则配置。通过firewalld和iptables,我们可以灵活地控制IP端口的访问权限,从而提升服务器的安全性。
