今天新租了几台云服务器,配置好环境,先搭建一波Zookeeper集群,像以前搭的机器一样,先关一下防火墙 service iptables stop ,突然报错:Unit iptables.service not loaded.……
看到这个报错,瞬间想到了可能是版本问题导致的命令更换,之前一直用的是CentOS6,本次租借的service版本是7,经查证,确实是这个问题。在CentOS7中,防火墙的管理是由firewalld.service来控制的,iptables是版本7以下的管理方式。
**
(一)解决方法
**
【以下命令很多是手写的,所以可能有的空格遗漏,请注意】
针对这个问题,解决方法分为两种:
第一种,按照新的管理机制去进行管理
区别于iptables service(静态管理防火墙的模式),firewalld.service是一种动态防火墙的管理服务,通过端口的设定可以控制数据的进出、端口的使用。具体操作步骤如下:
开放单一端口:
firewall-cmd --zone=public --add-port=80/tcp --permanent (–permanent永久生效,确保重启后仍然是有效的)
开放范围端口(如500-1000):
firewall-cmd --zone=public --add-port=500-1000/tcp –permanent
注:这里采用的是tcp协议,但也可以采用udp协议
补充:(按需进入)
重新载入
firewall-cmd –reload(重新加载防火墙,中断用户的连接,将临时配置清掉,加载配置文件中的永久配置)
firewall–complete-reload(重新加载防火墙,不中断用户的连接,在防火墙出严重故障时使用)
firewall–panic-on (紧急模式,强制关闭所有网络连接,–panic-off是关闭紧急模式)
查看
firewall-cmd --zone=public --query-port=80/tcp
删除
firewall-cmd --zone=public --remove-port=80/tcp --permanent
第二种,还原到旧的操作指令
很多人比较习惯原来的操作命令,第二种方法可以实现。
首先,禁用和注销firewalld防火墙服务:
systemctl stop firewalld
systemctl mask firewalld
其次,安装iptables-services包
yum install iptables-services
然后,设置为在服务器启动时自动开启服务
systemctl enable iptables
之后,你就按照需要操作防火墙了
systemctl [stop|start|restart] iptables
或者
service [stop|start|restart] iptables
最后,不要忘记保存一下设置
service iptables save
PS:如果不放心可以查看一下状态
service iptables status
主要看Active的状态就行。
(二)相关说明
这一部分主要是讲解第一部分解决方法的原理,如果单纯只是想解决手头的问题可以只看第一部分,想扩展一点东西可以看一下这一部分。
1)为什么要关闭防火墙
本篇博文产生于zookeeper集群搭建时,关闭防火墙报错。防火墙的设立可以给予系统和数据以保护作用,但有时防火墙的存在也会影响我们正常的开发,比如会影响zookeeper这样集群性质的端口通信、数据包接收或是一些基于端口的开发等等。
2)CentOS、RHEL和Fedora
这三者都是Linux系统的一种,在系统包装方面各自有各自的特点。之所以要提及这三个linux的发行版本是因为在CentOS 7、RHEL7和Eedora中,防火墙的管理都是由firewalld进行管理的。关于Linux系统(内核)和Linux的发行系统的联系和区分请参照我的另外一篇博文。
3)firewalld与iptables的区别
这部分是我参照了几篇博文结合自己的理解写的,肯定会有些不到位的地方。
Firewalld(动态防火墙)是CentOS 7开始引进的一种新的防火墙管理机制。但是其核心仍然是基于iptables,底层也是借助于这个为入口的,只不过是其并未安装iptables.service服务,所以我们在解决第一部分问题的还原方法时直接采用的是禁用firewalled服务,然后安装一下iptables的服务就可以采用旧的操作指令来操作防火墙了。
其实firewalld管理防火墙相对于传统的iptables,最大的特点就是变静态为动态,加入了zone这样一个机制。传统情况下,我们如果业务更替有设立不同防火墙规则的需求时,需要频繁的去手动的设置防火墙的策略规则,体现为先清空旧的规则,再重新加载新的规则;而firewalld动态特点的一个直接体现就是不需要手动去改防火墙的规则,只需要将新的规则替换到运行的iptables中就行(firewall底层仍然是以iptables作为规则管理入口),如何添加呢,这就要提及zone(区域)这样的一个新机制,zone默认是public,但其共有9种类别,每一类别代表了对数据包默认行为的不同(和权限修饰符有类似),不同的zone的设置就可以帮助我们设定不同端口的防火墙策略,这样我们在有更换防火墙策略需求时就可以快速简单的进行设置。
(理论参照:
“https://blog.51cto.com/11638832/2092203”、“https://blog.csdn.net/u013485530/article/details/80906564”)
4)systemctl mask
之所以补充这一点是因为我在运行systemctl mask firewald时,对mask的作用有点模糊,通过查阅相关资料得到如下总结:
systemctl mask 是注销服务的意思。
注销服务意味着:
该服务在系统重启的时候不会启动
该服务无法进行做systemctl start/stop操作
该服务无法进行systemctl enable/disable操作
5)常用的一些命令
有篇博文已经写的很详细了(https://blog.csdn.net/s_p_j/article/details/80979450)
其实还想说很多,比如linux内核版本与发行版本、NetFilter和iptables框架、这些不同机制下的防火墙的底层实现流程等等,没有止境,及时刹住……
7559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
