ipset

一、下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service iptables status 2:暂时关闭防火墙 systemctl stop firewalld service iptables stop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld service iptables restart 5:永久关闭后重启 //暂时还没有试过 chkconfig iptables on 二、firewalld Centos7默认安装了firewalld，如果没有安装的话，可以使用 yum install firewalld firewalld-config 进行安装。 1.启动防火墙 systemctl start firewalld 2.禁用防火墙 systemctl stop firewalld 3.设置开机启动 systemctl enable firewalld 4.停止并禁用开机启动 sytemctl disable firewalld 5.重启防火墙 firewall-cmd --reload 6.查看状态 systemctl status

firewalld的富规则可以定义更复杂强大的防火墙规则 语法: fiewall-cmd [--permanent] --add-rich-rule="rich rule" 其中富规则的结构如下: 1,一般规则结构 rule [source] [destination] service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port [log] [audit] [accept|reject|drop|mark] 其中[]中的关键词称为元素,每个元素都有自己的选项,如下: Rule: rule [family="ipv4|ipv6"] Source: source [not] address="address[/mask]"|mac="mac-address"|ipset="ipset" Destination: destination [not] address="address[/mask]" Service: service name="service name" Port: port port="port value" protocol="tcp|udp" Protocol: protocol value="protocol value" ICMP-Block: icmp-block

思考了几种方案，最终考虑使用ip黑名单的方式： 处理方法： 一、nginx黑名单方式： 1、过滤日志访问API接口的IP，统计每10分钟调用超过100次的IP，直接丢进nginx的访问黑名单 2、具体步骤： 编写shell脚本： 复制代码 vim /shell/nginx_cutaccesslog.sh #!/bin/bash log_path=/xxx/nginx/logs date= date -d "10 min ago" +%Y%m%d-%H:%M:%S nginxpid= cat ${log_path}/nginx.pid cd ${log_path} #过滤access.log中正常访问API接口并在10分钟（下面是日志切割，再做个定时任务每10分钟执行一次，就可以实现了）内访问量最高的30个IP，取值如果此IP访问量大于100次，则把此IP放入黑名单 cat access.log | grep sendCheckCode | grep -v 403 | awk '{print $2}'|sort|uniq -c | sort -k1 -n | tail -30 | awk '{if($1>100) print "deny "$2";"}' > ../conf/denyip.conf #日志切割，做定时任务，每10分钟执行一次 mv ${log_path}/access

LVS+keepalived做Mysql集群的负载均衡： 注： 1、LVS本身不对node做健康检查的，所以要借助keepalived 2、根据配置当某node down掉会有几秒判断时间，这点请注意。 负载均衡端： yum install ipvsadm keepalived ipset-devel 注： keepalived的log在/var/log/message里 vi /etc/keepalived/keepalived.conf ! Configuration File for keepalived global_defs { notification_email { br/>aa@ming.com } notification_email_from aa@ming.com smtp_server 10.0.0.10 smtp_connect_timeout 30 router_id LVS_DEVEL vrrp_skip_check_adv_addr vrrp_strict （这行一定要注掉，不注掉vip可能会ping不通） vrrp_garp_interval 0 vrrp_gna_interval 0 } vrrp_instance VI_1 { state MASTER interface eno1 （这里网卡名要写对） virtual_router_id 51

很多情况下，你可能需要在Linux下屏蔽IP地址。比如，作为一个终端用户，你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员，你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下，然而，你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个？ Netfilter/IPtables 的问题 在Linux中，可以很简单地用netfilter/iptables框架禁止IP地址： $ sudo iptables - A INPUT - s 1.1 . 1.1 - p TCP - j DROP 如果你想要完全屏蔽一个IP地址段，你可以用下面的命令很简单地做到： $ sudo iptables - A INPUT - s 1.1 . 2.0 / 24 - p TCP - j DROP 然而，当你有1000个独立IP地址，且不带CIDR（无类别域间路由）前缀，你该怎么做？你要有1000条iptable规则！这显然这并不适于大规模屏蔽。 $ sudo iptables - A INPUT - s 1.1 . 1.1 - p TCP - j DROP $ sudo iptables - A INPUT - s 2.2 . 2.2 - p TCP -

出处： Java代码实现负载均衡五种算法 前言： 负载均衡是为了解决并发情况下，多个请求访问，把请求通过提前约定好的规则转发给各个server。其中有好几个种经典的算法。在用java代码编写这几种算法之前，先来了解一下负载均衡这个概念。 1.概念 负载，从字面意思可以分析，是指后端server可以承受的压力。这个一方面是服务器的性能，另一方面就是代码的质量了。 均衡，就是说把服务部署在多态server，如何调度这些资源。根据服务器性能不同，进行一个权衡。 当web访问量增加，服务器性能不同，更好的去利用服务器，我们需要负载均衡算法。 2.几种负载均衡算法简介 主要的负载均衡算法是图中这些，在代码实现之前，我们先简单回顾一下他们的概念。 轮询法： 轮询算法按顺序把每个新的连接请求分配给下一个服务器，最终把所有请求平分给所有的服务器。 优点：绝对公平 缺点：无法根据服务器性能去分配，无法合理利用服务器资源。 加权轮询法： 该算法中，每个机器接受的连接数量是按权重比例分配的。这是对普通轮询算法的改进，比如你可以设定：第三台机器的处理能力是第一台机器的两倍，那么负载均衡器会把两倍的连接数量分配给第3台机器。加权轮询分为：简单的轮询、平滑的轮询。 什么是平滑的轮询，就是把每个不同的服务，平均分布。在Nginx源码中，实现了一种叫做平滑的加权轮询（smooth weighted round

3 月，跳不动了？>>> 景观石密度大家【薇/扣:31843 2 I 68】介绍了 nftables 的优点以及基本的使用方法，它的优点在于直接在用户态把网络规则编译成字节码，然后由内核的虚拟机执行，尽管和 iptables 一样都是基于 netfilter，但 nftables 的灵活性更高。 之前用 iptables 匹配大量数据时，还得需要 ipset 配合，而 nftables 直接内置了集合和字典，可以直接匹配大量的数据，这一点比 iptables 方便多了，拿来练练魔法真是极好的，不多解释，请直接看 Linux全局智能分流方案。 本文将会教你如何配置 nftables 来为服务器实现一个简单的防火墙，本文以 CentOS 7 为例，其他发行版类似。 来源： oschina 链接： https://my.oschina.net/u/4490304/blog/3211755

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1、管理防火墙 查看状态：systemctl status firewalld 启动：systemctl start firewalld 停止：systemctl stop firewalld 重启：systemctl restart firewalld 开机时启动：systemctl enable firewalld 开机时禁用：systemctl disable firewalld 2、查看防火墙状态 查看防火墙状态：firewall-cmd --state 查看防火墙规则（默认区域public）：firewall-cmd --list-all 查看防火墙规则（指定区域work）：firewall-cmd --list-all --zone=work 查看防火墙规则（所有区域）：firewall-cmd --list-all-zones 重新加载服务（保持状态信息）：firewall-cmd --reload 重新加载服务（舍弃状态信息）：firewall-cmd --complete-reload -V, --version Print the version string of firewalld. This option is not combinable with other options. -q

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 1、下载地址 https://www.keepalived.org/software/keepalived-2.0.19.tar.gz 2、编译安装 centos7环境 1、安装依赖库 yum install openssl-devel libnl3-devel ipset-devel iptables-devel make autoconf automake file-devel net-snmp-devel glib2-devel json-c-devel pcre2-devel libnftnl-devel libmnl-devel 2、解压缩 tar -xvf keepalived-2.0.19.tar.gz 3、进入目录 cd keepalived-2.0.19 4、编译安装 ./configure make make install 5、配置主节点 keepalived在启动时，会自动去/etc/keepalived下面找配置文件 mkdir /etc/keepalived vi /etc/keepalived/ keepalived.conf ! Configuration File for keepalived global_defs { # notification_email { #

iptables iptables [-t 表名] 命令选项 ［链名］ ［条件匹配］ ［-j 目标动作或跳转］ -t 表名 可以省略，指定规则存放在哪个表中，默认为filter表 用于存放相同功能的规则 filter表: 负责过滤功能能， nat表: 网络地址转换功能 mangle表: 拆解报文 做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制 命令选项 -A 在指定链的末尾添加（append）一条新的规则 -D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除 -I 在指定链中插入（insert）一条新的规则，默认在第一行添加 -R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换 -L 列出（list）指定链中所有的规则进行查看 -E 重命名用户定义的链，不改变链本身 -F 清空（flush） -N 新建（new-chain）一条用户自己定义的规则链 -X 删除指定表中用户自定义的规则链（delete-chain） -P 设置指定链的默认策略（policy） -Z 将所有表的所有链的字节和数据包计数器清零 -n 使用数字形式（numeric）显示输出结果 -v 查看规则表详细信息（verbose）的信息 -V 查看版本(version) -h 获取帮助（help） 链名 链是指很多规则串在一起组成一条链条