Discuz阿里云安全组怎样设置安全组规则,阿里云增加ftp安全组。
一台ECS实例必须至少属于一个安全组,阿里云安全组的创建和管理,为了方便部署业务,您可以跨地域、跨网络类型 克隆安全组。如果新的安全组规则对线上业务产生了不利影响,您可以全部或部分还原安全组规则。在创建ECS实例之前,必须选择安全组来划分应用环境的安全域,授权安全组规则进行合理的网络安全隔离。这种情况下,选择特定的安全组来创建ECS实例就非常方便了。否则创建ECS实例都会分配到一个固定的安全组下面,还需要重新通过移出安全组以及加入新的安全组来实现网络安全隔离。
1、Linux实例如何测试ecs安全组规则是否生效?
假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。
(1)使用用户名密码验证连接Linux实例。
(2)运行以下命令查看TCP 80是否被监听。
netstat -an | grep 80
(3)如果返回以下结果,说明TCP 80端口已开通。
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
(4)在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。
2、阿里云ecs为什么无法访问25端口?
TCP 25端口是默认的邮箱服务端口。基于安全考虑,云服务器ECS的25端口默认受限。建议您使用465端口发送邮件,具体设置,请参见 使用SSL加密465端口发信样例及Demo。如果只能使用TCP 25端口,请提交工单申请解封,具体操作,请参见 TCP 25端口控制台解封申请。更多应用,请参阅 经典网络的应用案例 和 VPC ECS实例公网访问控制。
3、Windows实例如何测试ecs安全组规则是否生效?
假设您在实例里安装了Web服务,并在一个安全组里添加了一条安全组规则:公网入方向,允许所有IP地址访问实例的TCP 80端口。
(1)使用软件连接Windows实例。
(2)运行 命令提示符,输入以下命令查看TCP 80是否被监听。
netstat -aon | findstr :80
(3)如果返回以下结果,说明TCP 80端口已开通。
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1172
(4)在浏览器地址栏里输入 http://实例公网IP地址。如果访问成功,说明规则已经生效。
4、如何检查TCP80端口是否正常工作?
如果您的实例无法对外提供 HTTP 服务,您可以按以下步骤检查 Web 服务相关的接口(默认为 TCP 80)是否正常工作:
(1)在 ECS 管理控制台,确认安全组已经放行该端口。
(2)远程连接 ECS 实例,确认服务已经开启。
(3)确认端口正常被监听。如没有,请修改监听地址。
(4)确认实例防火墙已经放行服务。
(5)如仍无法解决,请提交工单咨询。
阿里云的官方帮助页面里提供了图文详解,Windows Server 2012、Windows Server 2008、CentOS 7.3、Ubuntu 16.04等操作系统中对tcp 80的检查测试,可以前往查看http://help.aliyun.com/knowledge_detail/59367.html
5、ECS安全组规则优先级说明:
(1)安全组规则的优先级可以设为1 ~ 100的任一个数值,数值越小,优先级越高。
(2)ECS实例可以加入不同的安全组。无论是同一个安全组内或不同安全组之间,如果安全组规则互相矛盾,即协议类型、端口范围、授权类型、授权对象都相同,最终生效的安全组规则如下:
如果 优先级 相同,则 拒绝 授权规则生效,接受 授权规则不生效。
如果 优先级 不同,则优先级高的规则生效,与 授权策略 的设置无关。
(3)为什么有些安全组规则的优先级是110?优先级为110的安全组规则是由系统创建的默认安全组规则,表示默认规则的优先级永远比您手动添加的安全组规则低,您可以随意覆盖。手动添加安全组规则时,优先级只能设置为 1 ~ 100。
6、为什么要在ecs添加安全组规则?需要注意些什么?
(1)对于您自己创建的安全组,在没有添加任何安全组规则之前,私网和公网默认规则均为:无论哪种网卡类型,出方向允许所有访问,入方向拒绝所有访问。所以我们需要添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。
(2)在添加安全组规则时,建议出方向只设置拒绝访问的规则,入方向只设置允许访问的规则。
(3)VPC网络:只需要设置出方向或入方向的规则,不区分内网和公网。专有网络(VPC)实例的公网访问通过私网网卡映射完成,所以,您在实例内部看不到公网网卡,在安全组里也只能设置内网规则。您设置的安全组规则同时对内网和公网生效。
(4)经典网络:需要分别设置公网或内网的出方向或入方向规则。
(5)每个安全组的入方向规则与出方向规则的总数不能超过100条。
7、阿里云ecs如何创建安全组?
两种方式,方式一:根据业务需要创建一个安全组,并将实例移入安全组;方式二:直接开始创建ECS实例,此时选择使用自动创建的安全组。
以下为手动创建安全组步骤,详细图文解释请前往阿里云官方帮助页面http://help.aliyun.com/document_detail/25468.html
(1)登录 ECS管理控制台,在左侧导航栏中,选择 网络和安全 > 安全组。
(2)选择地域。单击 创建安全组。在弹出的 创建安全组 对话框中,完成以下配置:
模板、安全组名称、描述、网络类型等。如果为VPC类型安全组,选择 专有网络,并选择已经创建的专有网络。如果为经典网络类型安全组,选择 经典网络。
(3)单击 确定。
8、阿里云ECS实例添加安全组规则的步骤和注意事项?
(1)登录 云服务器ECS管理控制台。在左侧导航栏中,选择 网络和安全 > 安全组。
(2)选择地域。找到要配置授权规则的安全组,在 操作 列中,单击 配置规则。
(3)在 安全组规则 页面上,单击 添加安全组规则。
如果您不需要设置ICMP、GRE协议规则,或者阿里云协议的默认端口,单击 快速创建规则即可。
(4)在弹出的对话框中设置参数(如果是VPC类型的安全组,不需要选择这个参数),授权策略:选择 允许 或 拒绝。
(5)查看安全组规则是否生效。
我们在用ftp连接阿里云的使用中,会遇到一些情况,如连接、端口、密码、错误代号等,经常遇到的情况如下,可以预先做个了解:
1、 FTP 软件连接时显示:打开数据 Socket 出错。
错误原因:用户选择了 PASV 模式连接,或可能是网宿机房防火墙的问题。
解决方法:如果您上传时提示 Socket 错误的话,请您检查一下您使用软件的编辑菜单中的连接的防火墙里是否有一个使用了 pasv 模式,如果选中的话,您把此选项取消即可。另外您本地安装了杀毒软件或防火墙,请您关闭后再测试一下。
2、用FTP 软件连接时候显示:USER anonymous
错误原因:用户使用登录类型为匿名方式。
解决方法:请您把 FTP 软件连接类型改为普通。
3、阿里云ecs云服务器的Windows实例搭建的FTP在外网无法连接和访问:
可能存在的原因:安全组拦截外网访问和防火墙拦截 FTP 进程。
图文详解请前往阿里云官方帮助页面查看解决的问题的流程:http://help.aliyun.com/knowledge_detail/40914.html
(一)安全组拦截外网访问:
登录 ECS 管理控制台,找到相应的实例,在安全组规则页面,单击添加安全组规则。在添加安全组规则对话框,协议类型选择全部,授权对象填写 0.0.0.0/0。
(二)防火墙拦截 FTP 进程:
这种情况可能是由于实例防火墙将 FTP(IIS) 进程拦截导致的,把 FTP(IIS) 进程加入到防火墙入站规则中即可。
4、如何重置云虚拟主机控制台密码和FTP密码?
图文详解请前往阿里云官方帮助页面查看:http://help.aliyun.com/knowledge_detail/36151.html
(一)重置主机管理密码流程:
(1)登录云虚拟主机管理页面 。
(2)找到相应主机 > 更多操作 > 重置管理密码 。
(3)主机名即主机管理控制台的登录名,主机管理密码不同于FTP密码。
(二)重置FTP 密码流程:
(1)单击 管理 ,免登至 主机管理控制台 。
(2)在 站点信息 中查看主机管理控制台的登录名,如忘记密码,在此可以重置主机管理控制台、FTP登录密码、数据库管理密码。
5、阿里云ecs云服务器的ftp密码需要重设怎么处理?
登陆服务器之后右键点击桌面的计算机--管理,打开服务器管理器,然后点击左侧配置--本地用户和组--用户,右键点击对应的FTP账号选择修改密码。
6、用ftp软件连接时候显示:426 Data connection closed, transfer aborted。
错误原因:这种错误信息一般出现在 Windows 系统主机,用户选择了PORT模式连接,但是再最后列表时出现“数据连接关闭”的提示,很有可能是用户的上网线路对端口限制过严导致。
解决方法:建议您先检查防火墙是否做了限制,或者更换一条上网线路再测试。
7、FTP的报错530:
用 FTP 软件连接时候,要求重复输入用户名和密码:530 无法登录。
(1)用户输入的用户名和密码有误,请您检查主机的用户名和密码,核实正确后再输入到软件中。
(2)输入虚拟主机的 IP 地址错误,请检查ip。
(3)填写的网站域名,但是域名还没有做解析记录,处理方式不要用域名进行连接,请用户更换成主机 IP 进行连接。
(4)用户本地电脑的21端口没有打开或选用的连接端口不是21端口,检查本地 21 端口是否开放或把连接端口设置为 21。
8、云虚拟主机FTP无法连接问题诊断:
图文详解请前往阿里云官方帮助页面查看:http://help.aliyun.com/knowledge_detail/36252.html
(1)您使用什么客户端连接FTP?使用浏览器或Windows 资源管理器很有可能出现无法连接的现象。推荐使用FTP客户端连接,例如FileZilla或CuteFTP等。
(2)您使用的是IP地址连接FTP吗?请不要使用IP地址连接FTP,如果您使用的虚拟主机,由于IP地址共享有可能无法连接到FTP,推荐您使用域名作为 FTP 连接地址。
(3)如果FTP连接报响应: 530 User cannot log in. 说明您的密码不正确。请输入正确密码或进行密码重置。如果重置密码仍然不能登录FTP?Ping 和tracert ftp连接地址检查您的网络是否能够正确连接至 FTP 地址。
9、阿里云ftp端口映射相关问题:
ECS 实例常用端口如:21FTP,22SSH,23Telnet。
ECS 实例常用端口介绍请查看阿里云官方帮助页面:http://help.aliyun.com/knowledge_detail/40724.html