全球主机交流论坛

标题: vir自带centos7是不是防火墙有问题? [打印本页]
作者: 晚来者    时间: 2019-1-6 01:53
标题: vir自带centos7是不是防火墙有问题?
无法打开,装了宝塔面板修改SSH端口后,一修改就挂
作者: 002    时间: 2019-1-6 02:25
iptables 先要把这个端口打开保存生效了,,在试试看.
修改了端口之后, 不要关闭当前交互窗口,
重开一个新端口连接看看 .
作者: 晚来者    时间: 2019-1-6 03:04
002 发表于 2019-1-6 02:25
iptables 先要把这个端口打开保存生效了,,在试试看.
修改了端口之后, 不要关闭当前交互窗口,
重开一个新端 ...

在宝塔面板修改的端口保存后,就直接挂了,无法链接上SSH了
作者: 002    时间: 2019-1-6 05:50
晚来者 发表于 2019-1-6 03:04
在宝塔面板修改的端口保存后,就直接挂了,无法链接上SSH了

你艹的 姿势不对.没办法.
作者: rooney    时间: 2019-1-6 07:56
selinux是不是没关掉,他认为ssh没有绑定指定端口会拒绝的
作者: 晚来者    时间: 2019-1-6 20:40
002 发表于 2019-1-6 05:50
你艹的 姿势不对.没办法.

centos7不是说是firewall吗?iptables是centos6吧
作者: aRNoLD    时间: 2019-1-6 21:07
本帖最后由 aRNoLD 于 2019-1-6 21:11 编辑

Virmach的CentOS7不是最小化版本,它自带了SELINUX,另外,它安装完成之后默认会自动替你yum update 一下,因此实际上你开机后能进入SSH时,就已经有firewallD以及SELINUX了。

这种情形下,你用iptables是没用的,即便是安装了iptables-services这个工具,因为在/etc/init.d(我记得是在这个目录下吧,或者是/etc/sysconfig)下面生成不了iptables的服务文件。

解决方案如下:


  2. # 安装iptables-services用于CentOS7下的iptables管理
  3. yum install -y iptables-services
  4. # 立即关闭SELINUX,仅当前会话有效
  5. setenforce 0
  6. # 彻底关闭SELINUX,需重启动主机后才生效
  7. sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
  8. # 关闭firewallD且禁止其随主机启动
  9. systemctl disable firewalld && systemctl stop firewalld
  10. # 启用iptables随机启动且立刻打开iptables
  11. systemctl start iptables && systemctl enable iptables
  12. # 以下为iptables的规则(略)
  13. ……
  14. # 重新启动主机
  15. reboot
复制代码


另外,如果你出于安全原因修改过SSH端口(Virmach和BandwagonHost不同,它默认全部使用22的SSH端口),而没有对SELINUX进行修改,或者开机后立即对SSH的登录方式做了修改,如免密码登录,那么SELINUX也会阻止你登录。一般来说,对SELINUX了解的话,可自行修改其中的安全政策以便放行相关的数据进出,但这个相当麻烦,而且大多数人不会设置,所以采用临时的上述第四行命令,或者一劳永逸的采用上述第六行命令,再重新启动后就能解决大多数由SELINUX引发的网络不正常的麻烦了。
作者: 晚来者    时间: 2019-1-6 22:21
本帖最后由 晚来者 于 2019-1-8 22:29 编辑
aRNoLD 发表于 2019-1-6 21:07
Virmach的CentOS7不是最小化版本,它自带了SELINUX,另外,它安装完成之后默认会自动替你yum update 一下, ...


感谢大佬回答,可能我的问题提问有毛病,Virmach的OpenVZ 安装CentOS7后,应该是阉割版,SELINUX和firewalld都是没有的,所以装好CentOS7后还是要装firewalld,否则就会出现我问题所说的,在宝塔面板里改了端口就挂,找了很久问题,在这里解决了。https://serverfault.com/questions/710076/centos-7-firewall-cmd-not-found/710077

需要安装firewall-cmd:yum install firewalld systemd -y
firewall:yum install firewalld

安装后开启

启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld
开机禁用  : systemctl disable firewalld
开机启用  : systemctl enable firewalld

启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service
重启一个服务:systemctl restart firewalld.service
显示一个服务的状态:systemctl status firewalld.service
在开机时启用一个服务:systemctl enable firewalld.service
在开机时禁用一个服务:systemctl disable firewalld.service
查看服务是否开机启动:systemctl is-enabled firewalld.service
查看防火墙状态:firewall-cmd --state
重新加载配置:firewall-cmd --reload

添加端口:firewall-cmd --zone=public --add-port=12345/tcp --permanent
添加后需要重新加载
作者: aRNoLD    时间: 2019-1-6 22:53
晚来者 发表于 2019-1-6 22:21
感谢大佬回答,可能我的问题提问有毛病,Virmach的OpenVZ 安装CentOS7后,应该是阉割版,SELINUX和firewa ...

我在Virmach有一台机器,水牛城的,我重新安装在CentOS下一共四个版本,v5、v6的32和64各一,以及v7一个版本。我装的就是v7,安装完成后,里面自带firewallD和SELINUX,我前两天才配置过,不处理SELINUX,iptables起不来,且新装系统进SSH后,
  1. systemctl status firewalld
复制代码

查看的结果是active。

会不会是不同的机型它们给配的发行版也不同?我是黑五期间买下的。
作者: 晚来者    时间: 2019-1-6 23:29
aRNoLD 发表于 2019-1-6 22:53
我在Virmach有一台机器,水牛城的,我重新安装在CentOS下一共四个版本,v5、v6的32和64各一,以及v7一个 ...

你的是KVM的吗?还是OpenVZ的?我的OpenVZ的和上面那个地址报错完全一样的



欢迎光临 全球主机交流论坛 (https://kokgog.com/) Powered by Discuz! X3.4