CentOS使用iftop+firewalld解决问题一例

有客户反映自己的服务器打开网页特别缓慢，通过后台看到有大流量的出站，但并没有网站流量。

好吧，祭出 iftop，这是一款Linux下查看实时网卡流量入站出站情况的软件，很好用。

CentOS 7 直接yum安装

yum install iftop -y

启动

iftop

iftop 很简单，在上述运行界面下直接按键盘按键即可切换不同的显示方式和功能。比如常用的几个（注意大小写）：

按n键 —— IP\主机名之间切换;
按t键 —— 切换显示格式为2行/1行/只显示发送流量/只显示接收流量
按N键 —— 切换显示端口号或端口服务名称
按p键 —— 切换显示本机端口信息
按l键 —— 打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息

通过iftop，可以看到客户机器上的111端口是打开的

并且一段时间内，只有 202.162.108.57 这个IP在111端口上有流量出站，且占用了服务器大部分带宽。

111端口是什么鬼？

111端口名称一般为sunrpc，用于远程命令执行的远程过程调用（RPC）协议，被网络文件系统（NFS）使用

经询问客户，并没有相关业务。关闭之。

systemctl stop rpcbind.socket
systemctl stop rpcbind
systemctl disable rpcbind.socket 
systemctl disable rpcbind

顺手看了一下，防火墙也没开启，开启之

yum install firewalld -y

添加放行常用端口，并屏蔽上述IP

firewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
……
firewall-cmd --add-rich-rule="rule family='ipv4' source address='202.162.108.57' reject" --permanent 
firewall-cmd --reload

问题解决。