最近更新时间:2022-04-28
可通过两种方式放行端口、地址和协议:Firewall方式和IPtables方式,二者只可配置其一。可根据组网需求灵活选择配置方式。
License Server安装完成后,需要根据Firewall或IPtables的状态进行如下处理:
如果Firewall和IPtables均处于关闭状态,可无需进行本章节的配置,但需要确保Firewall和IPtables处于永久关闭状态,否则可能导致License Server运行异常。当License Server暴露在公网环境中时,为提升安全性,建议开启Firewall或IPtables,并按照本章节的配置步骤进行配置。
如果Firewall或IPtables处于开启状态,需确认Firewall或IPtables是否已放行了License Server相关端口、地址和协议,如果未放行,则需要通过本章节的步骤进行配置,否则License Server无法正常运行。需要放行的端口、地址和协议如下:
WEB服务的HTTPS端口号
监控服务的HTTPS端口号
授权服务端口号
Mariadb数据库端口号23306
HA功能Keepalived组播地址244.0.0.18 (IPv6组播地址为ff02::12)和VRRP协议
查看Firewall状态
查看Firewall状态,如果显示active (running),则表示已开启。
[root@localhost ~]# service firewalld status Redirecting to /bin/systemctl status firewalld.service firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled) Active: active (running) since Thu 2015-07-30 12:33:26 CST; 20s ago …略… |
配置Firewall放行License Server的授权服务端口号和HTTPS端口号
验证Firewall是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例,WEB服务的HTTPS端口号以28443为例,监控服务的HTTPS端口号以38443为例,显示为no表示未放行。
[root@localhost ~]# firewall-cmd --query-port=5555/tcp no [root@localhost ~]# firewall-cmd --query-port=28443/tcp no [root@localhost ~]# firewall-cmd --query-port=38443/tcp no |
放行License Server相关端口号,显示success表示操作成功。
[root@localhost ~]# firewall-cmd --permanent --add-port=5555/tcp success [root@localhost ~]# firewall-cmd --permanent --add-port=28443/tcp success [root@localhost ~]# firewall-cmd --permanent --add-port=38443/tcp success |
重载配置使配置生效。
[root@localhost ~]# firewall-cmd --reload success |
验证端口是否放行成功,显示yes表示放行成功。
[root@localhost ~]# firewall-cmd --query-port=5555/tcp yes [root@localhost ~]# firewall-cmd --query-port=28443/tcp yes [root@localhost ~]# firewall-cmd --query-port=38443/tcp yes |
配置Firewall放行HA功能的Mariadb数据库端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置Firewall放行HA功能的Mariadb数据库使用的端口23306,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即:在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
验证Firewall是否放行了HA功能的Mariadb数据库端口号,显示为no表示未放行,显示为yes表示已放行。
[root@localhost ~]# firewall-cmd --permanent --query-port=23306/tcp no |
如果已放行端口23306,请先取消放行。
[root@localhost ~]# firewall-cmd --permanent --remove-port=23306/tcp success |
配置只对主或备License Server放行端口23306,主或备License Server的IP地址以IPv4地址192.168.109.15为例。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.109.15" port protocol="tcp" port="23306" accept" success |
主或备License Server的IP地址以IPv6地址2001::141为例。
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv6" source address="2001::142" port protocol="tcp" port="23306" accept" success |
重载配置使配置生效。
[root@localhost ~]# firewall-cmd --reload success |
验证端口是否放行成功。
[root@localhost ~]# firewall-cmd --list-all …略… rule family="ipv4" source address="192.168.109.15" port port="23306" protocol="tcp" accept rule family="ipv6" source address="2001::142" port port="23306" protocol="tcp" accept |
配置Firewall放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置Firewall放行HA功能所使用的Keepalived报文的组播地址和VRRP协议。
检查Firewall是否存在已放行Keepalived组播地址和VRRP协议,如果未配置规则或存在包含Keepalived组播地址和VRRP协议且状态为DROP的规则,表示未放行。
[root@localhost ~]# firewall-cmd --direct --get-all-rules ipv4 filter INPUT 0 -d 224.0.0.18 -j DROP ipv4 filter INPUT 0 -p vrrp -j DROP ipv6 filter INPUT 0 -d ff02::12 -j DROP ipv6 filter INPUT 0 -p vrrp -j DROP |
配置Firewall放行Keepalived的IPv4组播地址。
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -d 224.0.0.18 -j ACCEPT success |
配置Firewall放行Keepalived的IPv6组播地址。
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -d ff02::12 -j ACCEPT success |
配置Firewall放行IPv4的VRRP协议。
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p vrrp -j ACCEPT success |
配置Firewall放行IPv6的VRRP协议。
[root@localhost ~]# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p vrrp -j ACCEPT success |
重载配置,使配置生效。
[root@localhost ~]# firewall-cmd --reload Success |
查看IPtables状态
查看IPtables状态,如果显示active (exited),则表示已开启。
[root@localhost ~]# service iptables status Redirecting to /bin/systemctl status iptables.service iptables.service - IPv4 firewall with iptables Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled) Active: active (exited) since Thu 2020-01-16 10:11:01 EST; 11s ago …略… |
配置IPtables放行License Server的授权服务端口号和HTTPS端口号
验证IPtables是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例,WEB服务的HTTPS端口号以28443为例,监控服务的HTTPS端口号以38443为例,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# iptables -nvL | grep 5555 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555 [root@localhost ~]# iptables -nvL | grep 28443 [root@localhost ~]# iptables -nvL | grep 38443 |
如未配置规则,请添加以下规则放行相应端口号;如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。
[root@localhost ~]# iptables -I INPUT -p tcp --dport 5555 -j ACCEPT [root@localhost ~]# iptables -I INPUT -p tcp --dport 28443 -j ACCEPT [root@localhost ~]# iptables -I INPUT -p tcp --dport 38443 -j ACCEPT |
保存规则。
[root@localhost ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] |
重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart Redirecting to /bin/systemctl restart iptables.service |
验证端口是否放行成功,目标值显示ACCEPT表示放行成功。
[root@localhost ~]# iptables -nvL | grep 5555 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555 [root@localhost ~]# iptables -nvL | grep 28443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:28443 [root@localhost ~]# iptables -nvL | grep 38443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:38443 |
配置IPtables放行HA功能的Mariadb数据库端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置IPtables放行HA功能的Mariadb数据库使用的端口号23306,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即,在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
验证IPtables是否放行了HA功能的Mariadb数据库端口号,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# iptables -nvL | grep 23306 |
如未配置规则,请添加以下规则向主或备License Server放行端口23306,主或备License Server的IP地址以192.168.109.15为例;如已存在端口23306的放行规则,请将原规则删除并添加以下规则。
[root@localhost ~]# iptables -I INPUT -s 192.168.109.15 -p tcp --dport 23306 -j ACCEPT |
保存规则。
[root@localhost ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] |
重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart Redirecting to /bin/systemctl restart iptables.service |
验证端口是否放行成功。
[root@localhost ~]# iptables -nvL | grep 23306 0 0 ACCEPT tcp -- * * 192.168.109.15 0.0.0.0/0 tcp dpt: 23306 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: 23306 |
配置IPtables放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置IPtables放行HA功能所使用的Keepalived报文的组播地址244.0.0.18和VRRP协议。
检查IPtables是否存在放行Keepalived组播地址和VRRP协议的规则,如果未配置规则或存在包含组播地址244.0.0.18和VRRP协议且目标值不是ACCEPT的规则,则表示未放行。
[root@localhost ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 348 25382 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 32 2336 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 …略… |
如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。如未配置规则,请添加以下规则;
[root@localhost ~]# iptables -I INPUT -d 244.0.0.18/8 -j ACCEPT [root@localhost ~]# iptables -I INPUT -p vrrp -j ACCEPT |
保存规则。
[root@localhost ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] |
重启IPtables服务,使配置生效。
[root@localhost ~]# service iptables restart Redirecting to /bin/systemctl restart iptables.service |
查看IP6tables状态
查看IP6tables状态,如果显示active (exited),则表示已开启。
[root@localhost ~]# service ip6tables status Redirecting to /bin/systemctl status ip6tables.service ip6tables.service - IPv6 firewall with ip6tables Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; disabled; vendor preset: disabled) Active: active (exited) since Fri 2020-07-03 06:22:04 EDT; 31min ago …略… |
配置IP6tables放行License Server的授权服务端口号和HTTPS端口号
验证IP6tables是否放行了License Server的授权服务端口号和HTTPS端口号,授权服务端口号以5555为例,WEB服务的HTTPS端口号以28443为例,监控服务的HTTPS端口号以38443为例,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# ip6tables -nvL | grep 5555 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555 [root@localhost ~]# ip6tables -nvL | grep 28443 [root@localhost ~]# ip6tables -nvL | grep 38443 |
如未配置规则,请添加以下规则放行相应端口号;如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。
[root@localhost ~]# ip6tables -I INPUT -p tcp --dport 5555 -j ACCEPT [root@localhost ~]# ip6tables -I INPUT -p tcp --dport 28443 -j ACCEPT [root@localhost ~]# ip6tables -I INPUT -p tcp --dport 38443 -j ACCEPT |
保存规则。
[root@localhost ~]# service ip6tables save ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ] |
重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart Redirecting to /bin/systemctl restart ip6tables.service |
验证端口是否放行成功,目标值显示ACCEPT表示放行成功。
[root@localhost ~]# ip6tables -nvL | grep 5555 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:5555 [root@localhost ~]# ip6tables -nvL | grep 28443 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:28443 [root@localhost ~]# ip6tables -nvL | grep 38443 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:38443 |
配置IP6tables放行HA功能的Mariadb数据库端口号
如果License Server需要配置HA功能,则需要在主License Server和备License Server上配置IP6tables放行HA功能的Mariadb数据库使用的端口号23306,为保证数据库安全,建议只允许在主License Server和备License Server之间开放此端口,即,在主License Server上配置向备License Server开放此端口,在备License Server上配置向主License Server开放此端口。
验证IP6tables是否放行了HA功能的Mariadb数据库端口号,未配置规则或存在目标值不是ACCEPT的规则表示未放行。
[root@localhost ~]# ip6tables -nvL | grep 23306 |
如未配置规则,请添加以下规则向主或备License Server放行端口23306,主或备License Server的IP地址以2001::142为例;如已存在端口23306的放行规则,请将原规则删除并添加以下规则。
[root@localhost ~]# ip6tables -I INPUT -s 2001::142 -p tcp --dport 23306 -j ACCEPT |
保存规则。
[root@localhost ~]# service ip6tables save ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ] |
重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart Redirecting to /bin/systemctl restart ip6tables.service |
验证端口是否放行成功。
[root@localhost ~]# ip6tables -nvL | grep 23306 0 0 ACCEPT tcp * * 2001::142 ::/0 tcp dpt:23306 0 0 ACCEPT tcp * * 2001::186 ::/0 tcp dpt:23306 |
配置IP6tables放行HA功能Keepalived组播地址和VRRP协议
如果License Server需要配置HA功能,则需要配置IP6tables放行HA功能所使用的Keepalived报文的IPv6组播地址ff02::12和VRRP协议。
检查IP6tables是否存在放行Keepalived组播地址和VRRP协议的规则,如果未配置规则或存在包含组播地址ff02::12 和VRRP协议且目标值不是ACCEPT的规则,则表示未放行。
[root@localhost ~]# ip6tables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:28443 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:38443 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:5555 0 0 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED 4 272 ACCEPT icmpv6 * * ::/0 ::/0 0 0 ACCEPT all lo * ::/0 ::/0 …略… |
如已存在目标值不是ACCEPT的规则,请将原规则删除后再添加。如未配置规则,请添加以下规则;
[root@localhost ~]# ip6tables -I INPUT -d ff02::12/64 -j ACCEPT [root@localhost ~]# ip6tables -I INPUT -p vrrp -j ACCEPT |
保存规则。
[root@localhost ~]# service ip6tables save ip6tables: Saving firewall rules to /etc/sysconfig/ip6table[ OK ] |
重启IP6tables服务,使配置生效。
[root@localhost ~]# service ip6tables restart Redirecting to /bin/systemctl restart ip6tables.service |
