ipset

Linux关闭防火墙命令red hat/CentOs7

▼魔方 西西 提交于 2020-12-19 04:47:32
一、下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service iptables status 2:暂时关闭防火墙 systemctl stop firewalld service iptables stop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld service iptables restart 5:永久关闭后重启 //暂时还没有试过 chkconfig iptables on 二、firewalld Centos7默认安装了firewalld,如果没有安装的话,可以使用 yum install firewalld firewalld-config 进行安装。 1.启动防火墙 systemctl start firewalld 2.禁用防火墙 systemctl stop firewalld 3.设置开机启动 systemctl enable firewalld 4.停止并禁用开机启动 sytemctl disable firewalld 5.重启防火墙 firewall-cmd --reload 6.查看状态 systemctl status

firewalld的富规则

只愿长相守 提交于 2020-11-21 15:42:04
firewalld的富规则可以定义更复杂强大的防火墙规则 语法: fiewall-cmd [--permanent] --add-rich-rule="rich rule" 其中富规则的结构如下: 1,一般规则结构 rule [source] [destination] service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port [log] [audit] [accept|reject|drop|mark] 其中[]中的关键词称为元素,每个元素都有自己的选项,如下: Rule: rule [family="ipv4|ipv6"] Source: source [not] address="address[/mask]"|mac="mac-address"|ipset="ipset" Destination: destination [not] address="address[/mask]" Service: service name="service name" Port: port port="port value" protocol="tcp|udp" Protocol: protocol value="protocol value" ICMP-Block: icmp-block

nginx限制恶意IP处理方法

孤者浪人 提交于 2020-10-27 05:02:17
思考了几种方案,最终考虑使用ip黑名单的方式: 处理方法: 一、nginx黑名单方式: 1、过滤日志访问API接口的IP,统计每10分钟调用超过100次的IP,直接丢进nginx的访问黑名单 2、具体步骤: 编写shell脚本: 复制代码 vim /shell/nginx_cutaccesslog.sh #!/bin/bash log_path=/xxx/nginx/logs date= date -d "10 min ago" +%Y%m%d-%H:%M:%S nginxpid= cat ${log_path}/nginx.pid cd ${log_path} #过滤access.log中正常访问API接口并在10分钟(下面是日志切割,再做个定时任务每10分钟执行一次,就可以实现了)内访问量最高的30个IP,取值如果此IP访问量大于100次,则把此IP放入黑名单 cat access.log | grep sendCheckCode | grep -v 403 | awk '{print $2}'|sort|uniq -c | sort -k1 -n | tail -30 | awk '{if($1>100) print "deny "$2";"}' > ../conf/denyip.conf #日志切割,做定时任务,每10分钟执行一次 mv ${log_path}/access

LVS+keepalived做Mysql集群的负载均衡

梦想的初衷 提交于 2020-08-17 23:45:33
LVS+keepalived做Mysql集群的负载均衡: 注: 1、LVS本身不对node做健康检查的,所以要借助keepalived 2、根据配置当某node down掉会有几秒判断时间,这点请注意。 负载均衡端: yum install ipvsadm keepalived ipset-devel 注: keepalived的log在/var/log/message里 vi /etc/keepalived/keepalived.conf ! Configuration File for keepalived global_defs { notification_email { br/>aa@ming.com } notification_email_from aa@ming.com smtp_server 10.0.0.10 smtp_connect_timeout 30 router_id LVS_DEVEL vrrp_skip_check_adv_addr vrrp_strict (这行一定要注掉,不注掉vip可能会ping不通) vrrp_garp_interval 0 vrrp_gna_interval 0 } vrrp_instance VI_1 { state MASTER interface eno1 (这里网卡名要写对) virtual_router_id 51

如何在 Linux 下大量屏蔽恶意 IP 地址

我与影子孤独终老i 提交于 2020-04-25 08:06:38
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个? Netfilter/IPtables 的问题 在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址: $ sudo iptables - A INPUT - s 1.1 . 1.1 - p TCP - j DROP 如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到: $ sudo iptables - A INPUT - s 1.1 . 2.0 / 24 - p TCP - j DROP 然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。 $ sudo iptables - A INPUT - s 1.1 . 1.1 - p TCP - j DROP $ sudo iptables - A INPUT - s 2.2 . 2.2 - p TCP -

负载均衡算法-java实现

可紊 提交于 2020-04-10 09:33:03
出处: Java代码实现负载均衡五种算法 前言: 负载均衡是为了解决并发情况下,多个请求访问,把请求通过提前约定好的规则转发给各个server。其中有好几个种经典的算法。在用java代码编写这几种算法之前,先来了解一下负载均衡这个概念。 1.概念 负载,从字面意思可以分析,是指后端server可以承受的压力。这个一方面是服务器的性能,另一方面就是代码的质量了。 均衡,就是说把服务部署在多态server,如何调度这些资源。根据服务器性能不同,进行一个权衡。 当web访问量增加,服务器性能不同,更好的去利用服务器,我们需要负载均衡算法。 2.几种负载均衡算法简介 主要的负载均衡算法是图中这些,在代码实现之前,我们先简单回顾一下他们的概念。 轮询法: 轮询算法按顺序把每个新的连接请求分配给下一个服务器,最终把所有请求平分给所有的服务器。 优点:绝对公平 缺点:无法根据服务器性能去分配,无法合理利用服务器资源。 加权轮询法: 该算法中,每个机器接受的连接数量是按权重比例分配的。这是对普通轮询算法的改进,比如你可以设定:第三台机器的处理能力是第一台机器的两倍,那么负载均衡器会把两倍的连接数量分配给第3台机器。加权轮询分为:简单的轮询、平滑的轮询。 什么是平滑的轮询,就是把每个不同的服务,平均分布。在Nginx源码中,实现了一种叫做平滑的加权轮询(smooth weighted round

设计园林艺术=【景观石密度】一石既一景

左心房为你撑大大i 提交于 2020-03-26 11:37:41
3 月,跳不动了?>>> 景观石密度大家【薇/扣:31843 2 I 68】介绍了 nftables 的优点以及基本的使用方法,它的优点在于直接在用户态把网络规则编译成字节码,然后由内核的虚拟机执行,尽管和 iptables 一样都是基于 netfilter,但 nftables 的灵活性更高。 之前用 iptables 匹配大量数据时,还得需要 ipset 配合,而 nftables 直接内置了集合和字典,可以直接匹配大量的数据,这一点比 iptables 方便多了,拿来练练魔法真是极好的,不多解释,请直接看 Linux全局智能分流方案。 本文将会教你如何配置 nftables 来为服务器实现一个简单的防火墙,本文以 CentOS 7 为例,其他发行版类似。 来源: oschina 链接: https://my.oschina.net/u/4490304/blog/3211755

firewalld防火墙配置

被刻印的时光 ゝ 提交于 2019-12-23 15:56:45
【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1、管理防火墙 查看状态:systemctl status firewalld 启动:systemctl start firewalld 停止:systemctl stop firewalld 重启:systemctl restart firewalld 开机时启动:systemctl enable firewalld 开机时禁用:systemctl disable firewalld 2、查看防火墙状态 查看防火墙状态:firewall-cmd --state 查看防火墙规则(默认区域public):firewall-cmd --list-all 查看防火墙规则(指定区域work):firewall-cmd --list-all --zone=work 查看防火墙规则(所有区域):firewall-cmd --list-all-zones 重新加载服务(保持状态信息):firewall-cmd --reload 重新加载服务(舍弃状态信息):firewall-cmd --complete-reload -V, --version Print the version string of firewalld. This option is not combinable with other options. -q

keepalived配置

淺唱寂寞╮ 提交于 2019-12-18 13:20:31
【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1、下载地址 https://www.keepalived.org/software/keepalived-2.0.19.tar.gz 2、编译安装 centos7环境 1、安装依赖库 yum install openssl-devel libnl3-devel ipset-devel iptables-devel make autoconf automake file-devel net-snmp-devel glib2-devel json-c-devel pcre2-devel libnftnl-devel libmnl-devel 2、解压缩 tar -xvf keepalived-2.0.19.tar.gz 3、进入目录 cd keepalived-2.0.19 4、编译安装 ./configure make make install 5、配置主节点 keepalived在启动时,会自动去/etc/keepalived下面找配置文件 mkdir /etc/keepalived vi /etc/keepalived/ keepalived.conf ! Configuration File for keepalived global_defs { # notification_email { #

iptables ipset 实用命令

喜你入骨 提交于 2019-11-29 08:09:53
iptables iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] -t 表名 可以省略,指定规则存放在哪个表中,默认为filter表 用于存放相同功能的规则 filter表: 负责过滤功能能, nat表: 网络地址转换功能 mangle表: 拆解报文 做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制 命令选项 -A 在指定链的末尾添加(append)一条新的规则 -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除 -I 在指定链中插入(insert)一条新的规则,默认在第一行添加 -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换 -L 列出(list)指定链中所有的规则进行查看 -E 重命名用户定义的链,不改变链本身 -F 清空(flush) -N 新建(new-chain)一条用户自己定义的规则链 -X 删除指定表中用户自定义的规则链(delete-chain) -P 设置指定链的默认策略(policy) -Z 将所有表的所有链的字节和数据包计数器清零 -n 使用数字形式(numeric)显示输出结果 -v 查看规则表详细信息(verbose)的信息 -V 查看版本(version) -h 获取帮助(help) 链名 链是指很多规则串在一起组成一条链条