iptables

导读 生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站，此时我们需要通过安全措施保护我们的服务器，接下来为大家介绍几种方式。 实验环境： 版本：redhat6.5 ip:172.16.1.100,172.16.10 软件：nginx 172.16.1.10部署nginx [root@localhost tools]# ls nginx-1.11.2.tar.gz [root@localhost tools]# yum install gcc gcc-c++ make automake autoconf libtool pcre* zlib openssl openssl-devel [root@localhost tools]# tar xf nginx-1.11.2.tar.gz [root@localhost tools]# ls nginx-1.11.2 nginx-1.11.2.tar.gz [root@localhost tools]# cd nginx-1.11.2 [root@localhost nginx-1.11.2]# ls auto CHANGES CHANGES.ru conf configure contrib html LICENSE man README src [root@localhost nginx-1.11.2]# .

逻辑卷管理器是Linux系统用于对硬盘分区进行管理的一种机制，理论性较强，其创建初衷是为了解决硬盘设备在创建分区后不易修改分区大小的缺陷。尽管对传统的硬盘分区进行强制扩容或缩容从理论上来讲是可行的，但是却可能造成数据的丢失。而LVM技术是在硬盘分区和文件系统之间添加了一个逻辑层，它提供了一个抽象的卷组，可以把多块硬盘进行卷组合并。这样一来，用户不必关心物理硬盘设备的底层架构和布局，就可以实现对硬盘分区的动态调整。 iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下： 在进行路由选择前处理数据包（PREROUTING）； 处理流入的数据包（INPUT）； 处理流出的数据包（OUTPUT）； 处理转发的数据包（FORWARD）； 在进行路由选择后处理数据包（POSTROUTING）。 来源： oschina 链接： https://my.oschina.net/u/4299953/blog/4689132

预备知识 1. K8S 上 Service 类型 ClusterIP 通过集群的内部 IP 暴露服务，选择该值，服务只能够在集群内部可以访问，这也是默认的 ServiceType。 NodePort 通过每个 Node 上的 IP 和静态端口（NodePort）暴露服务。 NodePort 服务会路由到 ClusterIP 服务，这个 ClusterIP 服务会自动创建。 通过请求 <NodeIP>:<NodePort>，可以从集群的外部访问一个 NodePort 服务。 LoadBalancer 使用云提供商的负载局衡器，可以向外部暴露服务。 外部的负载均衡器可以路由到 NodePort 服务和 ClusterIP 服务。 ExternalName 通过返回 CNAME 和它的值，可以将服务映射到 externalName 字段的内容（例如， foo.bar.example.com）。 没有任何类型代理被创建。本文暂不讨论这种类型。 参考文档： https://cloud.tencent.com/document/product/457/45487 平台相关基础知识 腾讯云容器服务（Tencent Kubernetes Engine ，TKE）基于原生 Kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务，完全兼容原生 Kubernetes API

预备知识 1. K8S 上 Service 类型 ClusterIP 通过集群的内部 IP 暴露服务，选择该值，服务只能够在集群内部可以访问，这也是默认的 ServiceType。 NodePort 通过每个 Node 上的 IP 和静态端口（NodePort）暴露服务。 NodePort 服务会路由到 ClusterIP 服务，这个 ClusterIP 服务会自动创建。 通过请求 <NodeIP>:<NodePort>，可以从集群的外部访问一个 NodePort 服务。 LoadBalancer 使用云提供商的负载局衡器，可以向外部暴露服务。 外部的负载均衡器可以路由到 NodePort 服务和 ClusterIP 服务。 ExternalName 通过返回 CNAME 和它的值，可以将服务映射到 externalName 字段的内容（例如， foo.bar.example.com）。 没有任何类型代理被创建。本文暂不讨论这种类型。 参考文档： https://cloud.tencent.com/document/product/457/45487 平台相关基础知识 腾讯云容器服务（Tencent Kubernetes Engine ，TKE）基于原生 Kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务，完全兼容原生 Kubernetes API

最近在docker下搭建MySQL和Redis环境，远程linux主机内部网络都走通了，但是就是外网 无法连接远程服务器的MySQL和Redis。经过一番查找和学习，终于找到了问题，不仅远程服 务器上docker要做好内部和外部端口的映射，关键还要对对外开放的端口添加到防火墙中。 命令集合： （1）查看对外开放的端口状态 查询已开放的端口 netstat -anp 查询指定端口是否已开 firewall-cmd --query-port=666/tcp 提示 yes，表示开启；no表示未开启。 （2）查看防火墙状态 查看防火墙状态 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭防火墙 systemctl stop firewalld 开启防火墙 service firewalld start 若遇到无法开启 先用：systemctl unmask firewalld.service 然后：systemctl start firewalld.service （3）对外开发端口 查看想开的端口是否已开： firewall-cmd --query-port=6379/tcp 添加指定需要开放的端口： firewall-cmd --add-port=123/tcp --permanent 重载入添加的端口：

配置nginx访问网页时需要绑定hosts，如 127.0.0.1 www.xxxx.com 此时需要讲80端口转发到8080才能正常调试。具体步骤如下: 1，sudo vim /etc/pf.conf 2，在rdr-anchor “com.apple/*”后面加上如下这一行 rdr on lo0 inet proto tcp from any to 127.0.0.1 port 80 -> 127.0.0.1 port 8080（代表将发到80端口的数据转发到8080上） 3，重新加载配置 sudo pfctl -f /etc/pf.conf 4，启动 sudo pfctl -e 该方法是临时的，mac关机重启后需要重新配置一次，永久的方法暂时没找到。不过Mac也基本不关机。 Linux 下配置端口80转发到8080 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 来源： oschina 链接： https://my.oschina.net/guoenzhou/blog/4670303

针对NFSv4版本需要服务官方说明： NFS version 4 (NFSv4) works throughfirewalls and on the Internet, no longer requires an rpcbind service, supportsACLs, and utilizes stateful operations. Red Hat Enterprise Linux 6 supportsNFSv2, NFSv3, and NFSv4 clients. When mounting a file system via NFS, Red HatEnterprise Linux uses NFSv4 by default, if the server supports it. NFS version4(NFSv4) 工作是通过防火墙和在互联网上 , 不再需要一个 rpcbind 服务 , 支持 acl, 利用有状态操作。 Red HatEnterprise Linux 6 支持 NFSv2 NFSv3,NFSv4 客户。通过 NFS 挂载文件系统时 ,Red HatEnterprise Linux 使用 NFSv4 在默认情况下 , 如果服务器支持它。 针对NFSv4端口协议官方说明： Themounting and locking protocols have

SUSE 11 SP4 iptables 保存 以及普通用户启动tomcat iptables-save >/root/iptables.save vim /etc/init.d/boot.local iptables-restore /root/iptables.save su - ${user} -c "cd apache-tomcat-8.5.51 && ./bin/startup.sh" chmod +x /etc/init.d/boot.local suse 开机以普通用户启动tomcat，这里需要 注意的suse 11下的 /etc/init.d/boot.local 文件相当于redhat或者centos下的 /etc/rc.d/rc.local 例如 iptables-save 内容如下： mart:~ # iptables-save # Generated by iptables-save v1.4.16.3 on Mon Aug 3 16:46:09 2020 *filter :INPUT DROP [678:290856] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [619:855502] -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -p tcp -m tcp -

upstream mail { server smtp.exmail.qq.com:465; } server { access_log /tmp/c.log mains; listen 84; proxy_connect_timeout 10s; proxy_timeout 30s; #后端连接超时时间 proxy_pass mail; } nginx代理腾讯企业邮箱 /sbin/iptables -t filter -A OUTPUT -p tcp --dport 84 -d 192.168.10.247 -m comment --comment "#腾讯企业邮箱#" -j ACCEPT #邮件协议 ACCEPT tcp -- 0.0.0.0/0 192.168.10.247 tcp dpt:84 /* #腾讯企业邮箱# */ 然后用 /etc/hosts 来源： oschina 链接： https://my.oschina.net/u/4327913/blog/4291346

我们在管理、维护Zabbix的时候，经常需要查看配置文件下的一些参数信息。下面介绍一些常用的小技巧。 1：我想知道zabbix_server.conf文件中配置了那些参数。 # grep '^[a-Z]' /etc/zabbix/zabbix_server.conf LogFile=/var/log/zabbix/zabbix_server.log LogFileSize=0 PidFile=/var/run/zabbix/zabbix_server.pid SocketDir=/var/run/zabbix DBHost=localhost DBName=zabbix DBUser=zabbix DBPassword=xxxxxxxx DBSocket=/mysql_data/mysql/mysql.sock StartPollers=15 StartTrappers=40 StartPingers=10 SNMPTrapperFile=/var/log/snmptrap/snmptrap.log CacheSize=2048M ValueCacheSize=128M Timeout=4 AlertScriptsPath=/usr/lib/zabbix/alertscripts ExternalScripts=/usr/lib/zabbix/externalscripts