引言:

今天修改了 skynet 服务器的 IP 地址(即 config 文件中的 addressmaster 两项参数,IP 与当前及其的保持一致,端口号为 2017),然后使用一个简单的客户端去连接服务器,结果服务器完全没有收到 Socket 连接请求,客户端也出现了连接超时,猜想应该是 CentOS 中防火墙导致的,在真正排查解决此问题之前,我们先来了解一下 CentOS 7.0 的防火墙机制。

firewall 简介:

CentOS 默认就安装了 firewall ,取代了旧版本中的 iptables,而且默认是开机启动的,可以通过以下指令查询当前防火墙的版本:

# firewall-cmd --version
0.4.3.2

可以查询帮助文档了解防火墙的一些指令:

# firewall-cmd --help

Usage: firewall-cmd [OPTIONS...]

General Options
  -h, --help           Prints a short help text and exists
  -V, --version        Print the version string of firewalld
  -q, --quiet          Do not print status messages

...

内容太多就不贴完整版了,我们需要知道的主要有以下几点:

1.查询防火墙的状态:

  • 仅获取状态:

    firewall-cmd --state

  • 获取详细信息:

    systemctl status firewalld.service

2.启动和关闭:

  • 启动:

    systemctl start firewalld.service #启动firewall
systemctl enable firewalld.service #允许firewall开机启动

  • 重启:

    systemctl restart firewalld.service #重启firewall

    由于 firewall 支持修改的动态更新,所以一般修改参数后不用重启即可生效。

  • 关闭:

    systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall开机启动

3.查询所有开放的端口列表:

firewall-cmd --zone=dmz --list-ports
  • zone 是作用域,根据添加开放端口时的具体情况在查询时做相应的修改。

4.禁用或开放端口:

  • 开放端口:

    firewall-cmd --zone=public --add-port=80/tcp --permanent
    • zone 表示作用域
    • add-port 添加需要开放端口(格式:端口号/协议类型,如:2017/tcp)
    • permanent 永久生效,没有此参数重启后失效

  • 禁用端口:

    firewall-cmd --zone=public --remove-port=80/tcp --permanent

    格式与开放接口参数一致。

5.修改生效:

上面提到对 firewall 修改可以不重启生效,但前提就是需要调用一下以下接口来使修改应用:

firewall-cmd --reload

6.其他:

1. firewall-cmd --state                           ##查看防火墙状态,是否是running
2. firewall-cmd --reload                          ##重新载入配置,比如添加规则之后,需要执行此命令
3. firewall-cmd --get-zones                       ##列出支持的zone
4. firewall-cmd --get-services                    ##列出支持的服务,在列表中的服务是放行的
5. firewall-cmd --query-service ftp               ##查看ftp服务是否支持,返回yes或者no
6. firewall-cmd --add-service=ftp                 ##临时开放ftp服务
7. firewall-cmd --add-service=ftp --permanent     ##永久开放ftp服务
8. firewall-cmd --remove-service=ftp --permanent  ##永久移除ftp服务
9. iptables -L -n                                 ##查看规则,这个命令是和iptables的相同的

排查和修正:

首先,我们先查询一下当前防火墙的状态:

# firewall-cmd --state
running

再查询一下详细信息:

# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2017-08-08 09:37:18 CST; 16min ago
     Docs: man:firewalld(1)
 Main PID: 511 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─511 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

8月 08 09:37:18 linsh systemd[1]: Starting firewalld - dynamic firewall daemon...
8月 08 09:37:18 linsh systemd[1]: Started firewalld - dynamic firewall daemon.

可以看到当前状态是 running 运行状态,而且还有启动时间,发现防火墙是在开机就自动启动的,那么再来查看一下当前防火墙运行外部连接的端口列表:

# firewall-cmd --zone=public --list-ports

发现列表是空的,即表示不允许任何端口被外部连接,由于我们的 Socket 连接需要使用到服务器的 2017 端口,所以需要将其添加到开放端口列表中:

# firewall-cmd --zone=public --add-port=2017/tcp --permanent
success

需要应用修改内容:

firewall-cmd --reload
success

再次查询开放列表:

firewall-cmd --zone=public --list-ports
2017/tcp

可以看到端口已经开启,接下来再使用客户端尝试连接服务器:

[root@linsh skynet]# ./skynet ./examples/config
[:01000001] LAUNCH logger
[:01000002] LAUNCH snlua bootstrap
[:01000003] LAUNCH snlua launcher
[:01000004] LAUNCH snlua cmaster
[:01000004] master listen socket 192.168.169.22:2017
[:01000005] LAUNCH snlua cslave
[:01000005] slave connect to master 192.168.169.22:2017
[:01000004] connect from 192.168.169.22:45876 4
[:01000006] LAUNCH harbor 1 16777221
[:01000004] Harbor 1 (fd=4) report 0.0.0.0:2526
[:01000005] Waiting for 0 harbors
[:01000005] Shakehand ready
[:01000007] LAUNCH snlua datacenterd
[:01000008] LAUNCH snlua service_mgr
[:01000009] LAUNCH snlua main
[:01000009] Server start
[:0100000a] LAUNCH snlua protoloader
[:0100000b] LAUNCH snlua console
[:0100000c] LAUNCH snlua debug_console 8000
[:0100000c] Start debug console at 127.0.0.1:8000
[:0100000d] LAUNCH snlua simpledb
[:0100000e] LAUNCH snlua watchdog
[:0100000f] LAUNCH snlua gate
[:0100000f] Listen on 0.0.0.0:8888
[:01000009] Watchdog listen on 8888
[:01000009] KILL self
[:01000002] KILL self
[:01000004] connect from 192.168.169.1:4130 8

可以看到成功接收到连接 "[:01000004] connect from 192.168.169.1:4130 8",这就表示我们的防火墙设置成功了。

参考:

Skynet服务器框架(十) CentOS 防火墙设置的更多相关文章

  1. Centos防火墙设置与端口开放的方法

    Centos升级到7之后,内置的防火墙已经从iptables变成了firewalld.所以,端口的开启还是要从两种情况来说明的,即iptables和firewalld.更多关于CentOs防火墙的最新 ...

  2. linux设置iptables防火墙的详细步骤(centos防火墙设置方法)

    CentOS系统也是基于linux中的它的防火墙其实就是iptables了,下面我来介绍在CentOS防火墙iptables的配置教程,希望此教程对各位朋友会有所帮助.   iptables是与Lin ...

  3. Skynet服务器框架(八) 任务和消息调度机制

    引言: 在我看来,消息和任务调度应该是skynet的核心,整个skynet框架的核心其实就是一个消息管理系统.在skynet中可以把每个功能都当做一个服务,整个skynet工程在执行过程中会创建很多个 ...

  4. 解决宿主机不能访问虚拟机CentOS中的站点 | 更新CentOS防火墙设置开启80端口访问

    前阵子在虚拟机上装好了centos6.0,并配好了nginx+php+mysql,但是本机就是无法访问.一直就没去折腾了. 具体情况如下 1.本机能ping通虚拟机 2.虚拟机也能ping通本机 3. ...

  5. Centos防火墙设置与端口开放

    前言 最近在部署项目的时候遇到了一些问题,阿里云主机要配置安全组策略和端口.对于这点看到了一片好的博文,特此总结记录下. iptables 方法一 打开某个端口 // 开启端口 iptables -A ...

  6. centos 防火墙设置

    1.安装iptables防火墙 怎么知道系统是否安装了iptables?执行iptables -V,如果显示如: iptables v1.3.5 说明已经安装了iptables. 如果没有安装ipta ...

  7. Skynet服务器框架(九) snax框架

    什么是 snax 由于 skynet 的 API 还是比较偏底层,为简化服务的编写提供一套简单的 API ,便有了这套 snax 框架,解决的问题: "编写一个 skynet 内部服务,处理 ...

  8. 关于centos 防火墙设置(nginx无法访问)

    参考:http://blog.csdn.net/rosten/article/details/25053523 或者:http://blog.csdn.net/zhang197093/article/ ...

  9. 虚拟机CentOS防火墙设置

    CentOS6关闭防火墙使用以下命令, 开启防火墙 systemctl start firewalld //临时关闭 # service iptables stop //禁止开机启动 # chkcon ...

随机推荐

  1. MVC ---- EF的延迟加载

    //EF中的where 有延迟加载功能(Iqueryable中的where) Sys_Log pEdit = nb.Sys_Log.Where(p=>p.F_Account== "su ...

  2. shell printf

    printf 可以格式化字符串,还可以制定字符串的宽度.左右对齐方式等.默认 printf 不会像 echo 自动添加换行符,我们可以手动添加 \n. 例子: $ echo "Hello, ...

  3. Beta冲刺

    第一天 日期:2018/6/24 1 今日完成任务情况. 妥志福.牛瑞鑫: 完成任务:数据库设计完成数据导入成功 王胜海.马中林: 完成任务:代码规范检查 董润园.邓英蓉: 完成任务:平台基本功能黑盒 ...

  4. POJ - 2528 Mayor's posters(dfs+分治)

    POJ - 2528 Mayor's posters 思路:分治思想. 代码: #include<iostream> #include<cstdio> #include< ...

  5. iframe 通信问题

    iframe作用: 1:页面部分刷新(iframe也是一个window,html是完整的不是部分html片段) 2:跨域 3:父子window通信 iframe1.window.xx=xx;paren ...

  6. php.ini配置说明

    1.设置时区为中国时区 date.timezone = PRC 2.设置支持MySql数据 extension=php_pdo_mysql.dll 直接将这个注释打开就OK了 3.让PHP支持简写&l ...

  7. 解决Word 2013, Word 2016的保存太慢的问题

    尝试下面步骤: 方法 一:文件〉选项〉高级〉,保存,关闭“允许后台保存”选项. 提示:禁止该项功能可能存在风险, 请及时保存文件. 方法二:禁用 Office  中的硬件加速 1.启动任一 Offic ...

  8. spring boot 2.0 + 静态资源被拦截,怎么办?

    问题描述:使用springboot 2.0后,按照springboot 1.5版本(以下简称旧版)的方式去配置项目.结果发现静态资源访问不到了,本文对此情况分析.处理 项目结构: 直接上图 如果是在旧 ...

  9. sgu 108 Self-numbers 2

    题意:这样的数有几个? 模仿筛法就能解出,但是内存不够.这就需要重复利用数组,用100大小的数组,所有的数对100取模.对于一个数,比如71,就在arr[78]=71记录下来.到78时,检查78-71 ...

  10. Confluence 6 配置 LDAP 连接池

    当 LDAP 连接池被启用后,LDAP 目录服务器将会维护一个连接池同时当必要的时候指派他们.当一个连接关闭后,这个连接将会放回到连接池中供以后进行使用.这种设置将会有效的提高系统性能. 希望配置 L ...