记一次防火墙配置

因第三方扫描漏洞,发现服务器有zookeeper未授权访问高危安全漏洞,我们采取的措施是给zookeeper访问加权限,在目标主机做以下配置:

一、登录zookeeper

./bin/zookeeper-shell.sh 127.0.0.1:2181

二、查看当前权限
 

getAcl /

三、设置访问权限(多个用逗号隔开)
 

setAcl / ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

经过以上配置后扫描漏洞依然存在,于是在/zookeeper /zookeeper/quota /config 节点均配置

setAcl /zookeeper ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /zookeeper/quota ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /config ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

如果需要回退,请执行

--回退
 

setAcl / world:anyone:cdrwa
setAcl /zookeeper world:anyone:cdrwa
setAcl /config world:anyone:cdrwa
setAcl /zookeeper/quota world:anyone:cdrwa

并重启了zookeeper和kafka,重启顺序是关闭kafka-->关闭zookeeper-->启动zookeeper-->启动kafka,注意每次关闭都jps看看是否真正关闭了。

./bin/kafka-server-stop.sh
./bin/zookeeper-server-stop.sh
nohup ./bin/zookeeper-server-start.sh config/zookeeper.properties >/dev/null 2>&1 &
nohup ./bin/kafka-server-start.sh config/server.properties >/dev/null 2>&1 &

为了以防万一,将2181端口移除,仅允许访问的ip访问2181端口,具体操作如下:

四、设置防火墙

firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload
firewall-cmd --list-all

如果需要回退,请执行

--回退
 

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload

附:防火墙常见命令

1.查看状态

systemctl status firewalld

2.启动防火墙

systemctl start firewalld

3.停止防火墙

systemctl stop firewalld

4.立即生效

firewall-cmd --reload

5.开启tcp端口 

firewall-cmd --zone=public --add-port=2181/tcp --permanent

6.移除tcp端口 

firewall-cmd --zone=public --remove-port=2181/tcp --permanent

7.开启udp端口 

firewall-cmd --zone=public --add-port=6030-6039/udp --permanent

8.查看开启的端口 

firewall-cmd --list-all

如果用到tdnegine,注意tcp和udp端口都要开启

最后就是等待第三方的再次扫描了

### 解决防火墙配置引起的Web区域网络不通问题 当遇到因防火墙配置不当而导致Web区域无法正常访问外部资源的情况时,可以采取一系列措施来排查并解决问题。 #### 1. 检查安全策略设置 确认防火墙的安全策略是否允许来自Web区域的数据流向外发送请求。通常情况下,需要确保存在一条明确许可规则,该规则应指定源地址(即Web服务器所在的子网)、目标地址(通常是任意或特定公网IP),以及所使用的协议和服务端口(如HTTP/HTTPS)。如果缺少这样的条目,则需创建相应规则以开放必要的通信路径[^1]。 #### 2. 审核NAT转换规则 对于采用私有IP地址的内部网络来说,出口流量往往要经过网络地址翻译(NAT)才能顺利抵达公共互联网。因此,在审查过程中也应当关注与之相关的映射关系是否正确设定。例如,在某些场景下可能需要验证PAT(Port Address Translation, 端口级地址转换)机制能否有效地将内网主机发出的数据包中的源IP替换为合法可用的公有IP,并保持会话状态的一致性[^2]。 #### 3. 查看连接跟踪录 利用命令行工具`display firewall session table`可以帮助管理员快速定位潜在故障点。此指令能够展示当前活动的所有TCP/IP会话详情,包括但不限于发起方、接收者及其交互模式等重要参数。通过对比预期行为同实际观测到的结果之间的差异,进而推断出是否存在异常状况阻碍了正常的通讯流程。 #### 4. 测试连通性和性能指标 借助ping测试或者更专业的带宽测量软件来进行简单的诊断工作也是不可或缺的一部分。前者主要用于检验两台机器之间最基本的可达性;后者则能进一步揭示链路质量的好坏程度——比如延迟时间长短、丢包率高低等问题均有可能影响最终用户体验。值得注意的是,在执行上述操作前最好先暂停任何可能导致误报的服务进程以免干扰判断准确性。 #### 5. 日志分析与告警监控 最后但同样重要的一步就是充分利用好日志文件所提供的宝贵线索。现代企业级防火墙上一般都会配备完善的事件录系统,它们不仅详尽载着每一次进出站动作的时间戳、涉及对象乃至具体原因等内容,而且还能配合预设阈值触发即时通知提醒相关人员及时介入处理突发情况。定期回顾这些文档有助于提前发现隐患所在从而防患于未然。 ```bash # 使用Ping命令检测连通性 ping www.example.com # 或者使用traceroute追踪路由路径 traceroute www.example.com ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值