在centos7上启动firewall-cmd无效(启动后端口无法拦截)

38 篇文章 3 订阅
19 篇文章 1 订阅

背景

博主在阿里云服务器部署程序时,systemctl start firewalld打开防火墙,这个时候理应所有端口都不能访问(因为firewalld默认关闭所有端口),但是博主的22端口却依然能连接

问题

为什么firewalld打开后没有阻拦22端口和80端口

调研|测试|分析

  • 使用nmap从本地测试服务器端口,发现是开放的
  • 使用docker部署完web应用,没有在防火墙打开80端口,但是外网可以直接访问服务器的web服务!
  • 在外网的机子上运行nmap -p 1-65535 115.29.188.135扫描所以端口,发现只有22端口和80端口是开放的;
  • 执行systemctl status firewalld -l查看防火墙状态,发现WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION-STAGE-2' failed: iptables: No chain/target/match by that name.
  • web服务器可以访问而不被防火墙拦截的原因找到了,因为firewalld没有关于docker的拦截配置文件,而且博主运行容器时加了参数-p 80:80,因此firewalld没有成功拦截80端口的服务;
  • 使用Python在阿里服务器上写一个简单的脚本,监听9011端口
import threading
import socket
 
 
encoding = 'utf-8'
BUFSIZE = 1024
 
 
# a read thread, read data from remote
class Reader(threading.Thread):
    def __init__(self, client):
        threading.Thread.__init__(self)
        self.client = client
        
    def run(self):
        while True:
            data = self.client.recv(BUFSIZE)
            if(data):
                string = bytes.decode(data, encoding)
                print(string, end='')
            else:
                break
        print("close:", self.client.getpeername())
        
    def readline(self):
        rec = self.inputs.readline()
        if rec:
            string = bytes.decode(rec, encoding)
            if len(string)>2:
                string = string[0:-2]
            else:
                string = ' '
        else:
            string = False
        return string
 
 
# a listen thread, listen remote connect
# when a remote machine request to connect, it will create a read thread to handle
class Listener(threading.Thread):
    def __init__(self, port):
        threading.Thread.__init__(self)
        self.port = port
        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        self.sock.bind(("0.0.0.0", port))
        self.sock.listen(0)
    def run(self):
        print("listener started")
        while True:
            client, cltadd = self.sock.accept()
            Reader(client).start()
            cltadd = cltadd
            print("accept a connect")
 
 
lst  = Listener(9011)   # create a listen thread
lst.start() # then start
  • 在阿里服务器和外网上分别执行nmap -p 9000-9100 115.29.188.135, nmap -p 9000-9100 127.0.0.1,发现在外网扫描后没有开放的端口,在阿里的执行后9011是开放的
  • 在服务器上使用防火墙开放9011端口,再在外网扫描下端口,发现9011端口是开放的,在服务器的防火墙关闭9011端口,再在外网扫描,发现是关闭的,由此可知,防火墙是有效的,可以有效拦截端口!!

结论

  1. 防火墙systemctl start firewalld后是可以有效拦截所有端口的!
  2. 防火墙不能拦截22端口是因为阿里的centos镜像做了优化或者说服务器系统上的防火墙默认开放22端口的,因为不开放用户就无法控制服务器,至于谁优化的不确定,我们知道这一点即可;
  3. 防火墙不能拦截80端口的原因是,博主使用docker部署的应用,且run -p 80:80,而防火墙无拦截docker的规则,因此拦不住

参考

  • https://blog.csdn.net/u011846257/article/details/54707864
  • https://blog.csdn.net/qq_41262248/article/details/80790993
  • https://blog.csdn.net/fanren224/article/details/79693756
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

THMAIL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值