这个环境几乎所有东西都是双胞胎,包括两个 Web 服务器/防火墙/网关系统,而且它们的版本已经过时了,所以我决定升级其中Fedora Server 30 to 38一个。当然,我的想法是让两者都“进入现代时代”,但每次只能升级一个。 我的时间安排很奇怪,因为就在我开始升级的同时,甚至没有接触(物理或电子)另一台服务器,它就决定失败了!所以,现在我有一个“服务器宕机”的情况。-呃-不幸的是,这也意味着我没有一个可以查看的工作示例。 我没有触及的那个显然有硬件问题,我现在无法解决,所以我专注于我已经开始的那个,它现在已经从升级/更新到 Fedora Server...
更新:在 /etc/hosts 中注释掉以下行之后,有点像 #127.0.1.1 my-host.domain.edu my-host 重新启动后,防火墙确实打开了预期的端口。我想这样做是因为,在防火墙关闭的情况下进行测试时,绑定到主机 '' 可以接受连接,但绑定到主机 my-host 则不能(因为那只是绑定到 127.0.1.1,而不是我的外部地址)。 我不明白为什么这会改变防火墙的行为,特别是当我指定了规则应该应用于哪个接口时。 原始帖子: 我有一台 Debian 11 服务器(未运行 NetworkManager),我正尝试使用 Firewall...
我有一台 Red Hat 8 服务器。我曾经在firewall-cmd --permanent --zone=public --add-service=https服务器上启用了到服务器的公共流量。当我 时systemctl start firewalld,它按预期工作。但是,每隔 10 分钟左右,守护进程就会停止。我自己没有这样做,所以我假设 的其他部分systemd正在这样做。以下是 的输出journalctl --unit firewalld --pager-end。值得注意的是,启动和停止之间的时间有时超过 10 分钟,因此无论发生什么,都不会每 10...
我正在尝试用防火墙规则替换现有的隧道: firewall-cmd --zone=public --add-forward-port=port=9999:proto=tcp:toport=9999:toaddr=100.1.1.1 这会将所有传入的 TCP 连接转发到 100.1.1.1 问题是它不起作用(端口保持关闭状态)。我试图了解我做错了什么,我唯一能想到的是目标 IP 地址位于不同的 NIC 上,并且由 Tailscale 创建(类似于 Wireguard VPN),因此它是一种虚拟 IP。 那么,转发到哪些 IP 有限制吗?有办法绕过这些限制吗? ...
我希望在特定用户user通过 ssh 进入我的服务器(运行 RHEL 7.4)后阻止所有传出连接,也就是说,他们user不能通过 ssh 进入/ping 网络上的其他服务器。 我最初配置了以下firewall-cmd规则,并且它正在发挥作用。 firewall-cmd --direct --permanent --add-rule ipv4 filter OUTPUT 0 -m owner --uid-owner user -j DROP 但是,user现在需要访问也在同一台服务器上运行的 Jupyter Notebook(http://localhost:...
我有两个防火墙区域配置如下: zone: ssh-access source: 1.2.3.4 ports: 9999/tcp zone: other-access source: 5.6.7.8 ports: 8888/tcp 我们暂时想要取消对端口 9999/tcp 上的 ssh-access 区域的访问限制,因此我们替换源,以便区域配置如下: zone: ssh-access source: 0.0.0.0/0 ports: 9999/tcp 这对该区域产生了预期的效果ssh-access。 但是,一旦我们这样做,区域的源 5.6.7.8othe...
我使用此脚本设置防火墙。我预期只能从一个 IP 进行 ssh 访问,但测试后发现并非如此。缺少什么? #!/bin/bash # # Reset to initial install of firewalld # rm -f /etc/firewalld/zones/* firewall-cmd --complete-reload firewall-cmd --runtime-to-permanent firewall-cmd --reload # # Create / Setup custom zone # firewall-cmd --new-zone ...
我注册了一家新的 ISP,但他们没有给我提供外部 IPv4 地址。我设置了一个虚拟服务器 (S)(有一个地址),使用 wireguard 隧道将我所有的东西转发到我家里的盒子 (B)。 在(S)上我配置了: sysctl -w net.ipv4.ip_forward=1 firewall-cmd --zone=external --add-forward-port=port=<EXTERNAL PORT>:proto=<PROTOCOL>:toport=<INTERNAL PORT>:toaddr=<INTERNAL...
首先,我使用 Firewalld,我的配置如下: 允许所有流量(没什么特别的)。 服务器有 MySQL 和 Apache2 (Linux Debian) 我需要允许 MySQL 远程连接到特定 IP 地址(我的 IP),而不关闭 http 连接。MySQL 配置文件只允许一个 IP,因此我无法直接在那里添加我的 IP,因为这样 Apache2 将无法通过 http 连接,这就是我寻找防火墙解决方案的原因。 我也尝试过使用firewalld(firewall-cmd)创建一个特定的区域,但是该区域最终阻止了所有http流量,因为它有一个源ip,因此最终出现...
我正在运行 Red Hat Enterprise Linux 7.9,我试图通过阻止docker-proxyTCP 端口。我使用默认区域作为5000firewall-cmdpublic仅有的活动区域,并已单独和组合尝试了以下操作: 5000从区域中删除端口public。 添加了一条丰富的规则以拒绝到端口的所有流量5000。 但是,当我telnet从其他主机连接到它时,它显示“已连接到 <FQDN>”。此行为仅在端口 上可见5000。其他端口(例如)会443按预期遵守防火墙规则。 这是我的防火墙配置: [root@<hostname>...
我想禁止已经建立的连接。 Firewalld 生成的默认 iptables 规则 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j INPUT_direct 如何在之前插入规则-j ACCEPT? 或者如何将 INPUT_direct 移至顶部? 或者如何删除 conntrack 规则? ...
我不太熟悉firewalld,但我想在Ubuntu20.04上尝试一下。我遇到的问题是每次我尝试添加新区域时都会被阻止port=80/tcp。zone=public 所以我的问题是:如何添加一个新区域而不被port=80/tcp阻塞zone=public? 下面我描述了我所做的事情。 (编辑- 我在这些问题的最后解释说,这些相同的操作在 ubuntu 18.04 和 centos 8 中成功,但在 ubuntu 20.04 中失败) 首先,我在 VPS 上安装了一个干净的 Ubuntu 20.04 实例。然后我以 root 用户身份从终端运行以下命令: # ...
在由firewalld 管理的系统上,可以将 443 上的传入流量重定向到 8443,这样监听的进程就不必以 root 身份运行来绑定到 443(这需要 root 身份)。 firewall-cmd --add-forward-port=port=443:proto=tcp:toport=8443 我尝试使用 00011 fwd 127.0.0.1,8443 tcp from any to me 443 但它不起作用。 此防火墙-cmd 命令在 IPFW 中的对应内容是什么? ...
我有一台 CentOS 服务器,我最近在上面运行了 yum-update,唯一的更新是 centos-release。我应用了更新,但从那以后 FirewallD 就一直报错。 我卸载并重新安装了该软件包,以为我可能只是破坏了配置,但现在,每当我尝试使用服务命令启动 FirewallD 时,都会被告知服务失败,并给出以下输出 Dec 17 15:54:57 DMZ01 systemd[1]: Starting firewalld - dynamic firewall daemon... -- Subject: Unit firewalld.service h...
我的 CentOS 7 服务器出了问题 偶然我运行了命令 # firewalld 然后我发现 /var/log/firewalld 中的日志文件已更新以下内容 2020-11-26 12:59:08 警告:AllowZoneDrifting 已启用。这被视为不安全的配置选项。它将在未来版本中被删除。请考虑立即禁用它。 我检查了防火墙状态,结果显示未激活 # systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loa...