(1)查看防火墙状态:
(2)重新加载配置:
(3)查看开放的端口:
(4)开启防火墙端口:
命令含义:
–zone #作用域
–add-port=9200/tcp #添加端口,格式为:端口/通讯协议
–permanent #永久生效,没有此参数重启后失效
注意:添加端口后,必须用命令firewall-cmd --reload重新加载一遍才会生效
(5)关闭防火墙端口:
前阵子公司的服务器上搭设了ElasticSearch服务,暴露了9200端口,被安全部门检测到要求整改。 需求:只允许某个IP或IP段访问9200端口。 解释一下,因为使用I参数,都是往头部插入。 ACCEPT是指:如果满足规则放行,剩下的规则不需要再执行。 DROP是指:如果满足规则丢弃(这时候客户端会傻傻等待到超时),剩下的规则不需要再执行。 REJECT是指:如果满足规则,则拒绝(REJECT动作会返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE),明确的拒绝对方的连接动作),剩下的规则不需要再执行。 看着上表解释,如果满足规则1这个10.10.11.0/24网段,放行,剩下的规则都不需校验了。 如果不满足,执行下一条规则2,对访问9200端口所有的请求都丢弃。如果满足,剩下规则不需校验,同上。 即,满足了特定IP访问9200端口的需求。 引用:Linux防火墙REJECT与DROP的区别client A 和 es server 不在一个 网络里面,只开了 9200端口通信。client A 和 es 之间ping 不通。
每个一段时间,比如过了一个晚上,访问es 的时候,总有一些请求 会timeout。
但是再发几个,或者重启都没有为问题。
linux server 的tcp 默认开启 tcp_keep_alive 机制。
默认2个小时,没有连接的话,就会去 发包探测对方是否还活着。
按道理,如果keep alive 机制正确的话,是不会断开连接的。
问题出在了网络环境,也就是我们 的client 和serve 不再一个 内网,需要过 核心路由器。
核心路由器一般都会有 一个 长连接掐断功能。
我们的核心路由器设置的时间是 30mins,所有很多连接被掐断了。
我们用的是自己发送 heartbeat。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)