CentOS使用iftop+firewalld解决问题一例
有客户反映自己的服务器打开网页特别缓慢,通过后台看到有大流量的出站,但并没有网站流量。
好吧,祭出 iftop,这是一款Linux下查看实时网卡流量入站出站情况的软件,很好用。
CentOS 7 直接yum安装
yum install iftop -y
启动
iftop
iftop 很简单,在上述运行界面下直接按键盘按键即可切换不同的显示方式和功能。比如常用的几个(注意大小写):
按n键 —— IP\主机名之间切换;
按t键 —— 切换显示格式为2行/1行/只显示发送流量/只显示接收流量
按N键 —— 切换显示端口号或端口服务名称
按p键 —— 切换显示本机端口信息
按l键 —— 打开屏幕过滤功能,输入要过滤的字符,比如ip,按回车后,屏幕就只显示这个IP相关的流量信息
通过iftop,可以看到客户机器上的111端口是打开的
并且一段时间内,只有 202.162.108.57 这个IP在111端口上有流量出站,且占用了服务器大部分带宽。
111端口是什么鬼?
111端口名称一般为sunrpc,用于远程命令执行的远程过程调用(RPC)协议,被网络文件系统(NFS)使用
经询问客户,并没有相关业务。关闭之。
systemctl stop rpcbind.socket
systemctl stop rpcbind
systemctl disable rpcbind.socket
systemctl disable rpcbind
顺手看了一下,防火墙也没开启,开启之
yum install firewalld -y
添加放行常用端口,并屏蔽上述IP
firewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
……
firewall-cmd --add-rich-rule="rule family='ipv4' source address='202.162.108.57' reject" --permanent
firewall-cmd --reload
问题解决。