Skip to content

集群防火墙管理

SonmiHPC集群中自带SSH防火墙功能,并且默认开启。

防火墙配置

/etc/sonmi/config.yaml 的以下字段中可以对防火墙进行设置:

sshd-keeper:
    enabled: true                           # 是否启用
    log-path: /var/log/secure               # 过滤信息来源
    save-path: /etc/sonmi/prisoners.json    # 禁用用户存储文件
    interval: 100                           # 检查间隔,单位ms
    max-retry: 5                            # 用户允许最大尝试登陆的次数
sshd-keeper:
    enabled: true                           # 是否启用
    log-path: /var/log/secure               # 过滤信息来源
    save-path: /etc/sonmi/prisoners.json    # 禁用用户存储文件
    interval: 100                           # 检查间隔,单位ms
    max-retry: 5                            # 用户允许最大尝试登陆的次数

一般保持默认配置即可。

通过命令行CLI工具可以进行以下的操作:

  • ban <IP>:主动封禁特定IP
  • banned:查看被封禁的IP列表
  • unban <IP>:解封特定的IP
[root@sonmi ~]# sonmictl keeper -h
Manage firewall for cluster

Usage:
  sonmictl keeper [command]

Available Commands:
  ban         Ban specified IP
  banned      Get all suspicious IPs
  unban       Unban specified IP or All banned IPs

Flags:
  -h, --help   help for keeper

Use "sonmictl keeper [command] --help" for more information about a command.
[root@sonmi ~]# sonmictl keeper -h
Manage firewall for cluster

Usage:
  sonmictl keeper [command]

Available Commands:
  ban         Ban specified IP
  banned      Get all suspicious IPs
  unban       Unban specified IP or All banned IPs

Flags:
  -h, --help   help for keeper

Use "sonmictl keeper [command] --help" for more information about a command.

查看被禁用用户

通过执行sonmictl keeper banned命令可以查看被封禁用户列表。

keeper-1

主动禁用IP

除了集群系统封禁用户之外,管理员也可以通过执行sonmictl keeper ban <IP>指定封禁特定的IP。在下面示例用通过以下命令禁用了192.168.1.2的IP。

sonmictl keeper ban 192.168.1.2
sonmictl keeper ban 192.168.1.2

keeper-2

解禁被禁IP

管理员可以通过执行sonmictl keeper unban <IP>命令来解禁特定的IP。在下面示例中通过以下命令解禁了192.168.1.2的IP。

sonmictl keeper unban 192.168.1.2
sonmictl keeper unban 192.168.1.2

keeper-3

也可以通过一下命令来解禁所有被封禁的IP:

sonmictl keeper unban all
sonmictl keeper unban all

本站内容未经授权禁止转载
联系邮箱: [email protected]