nginx fastCGI memcache如何配置防火墙

iptables -F #清除所有规则

iptables -X #清除所有自定义规则

iptables -Z #各项计数归零

iptables -P INPUT DROP #将input链默认规则设置为丢弃

iptables -P OUTPUT DROP #将output链默认规则设置为丢弃

iptables 配置案例（仅开放80、3306端口、允许ping）

修改一下/etc/sysconfig/iptables

########################################################################

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended

filter

-A INPUT -p tcp --dport 22 -j ACCEPT

-A OUTPUT -p tcp --sport 22 -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -p tcp --dport 80 -j ACCEPT

-A OUTPUT -p tcp --sport 80 -j ACCEPT

-A INPUT -p tcp --dport 3306 -j ACCEPT

-A OUTPUT -p tcp --sport 3306 -j ACCEPT

COMMIT

#########################################################################

保存、退出

/etc/initd/iptables restart

先在浏览器里访问服务器，报什么错误码！根据错误码判断错误 在服务器上检查80端口打开没有 # lsof -i:80 打开了，在检查nginx服务启动了没有。 ps -ef | grep nginx 然后检查防火墙和selinux是否阻挡

可以把多个域名映射到同一个IP地址上

docker 镜像名称由REPOSITORY和TAG组成 [REPOSITORY[:TAG]] ，TAG默认为latest

在宿主机创建持久化 conf--配置目录 html--静态网站目录 logs--日志目录 cert--存放证书目录

将容器内的 nginxconf 与 defaultconf 文件分别拷贝到主机/mnt/nginx与目录/mnt/nginx/conf下，分别执行

conf目录下创建nginxconf文件

首先要在域名管理中做好域名简析

在confd目录下创建 域名为abbaiducom的配置文件 abbaiducomconf 文件 包含ssl证书

在confd目录下创建 域名为ghbaiducom的配置文件 ghbaiducomconf 文件 包含ssl证书

ginxconf并没有在etc/nginx/conf目录下。

允许https访问 的 defaultconf 文件

将服务器的配置文件挂载到容器中，这样我们修改配置文件会方便一些。

退出nginx容器，将容器中的文件nginxconf先拷贝到宿主机中，confd目录下的 defaultconf 文件拷贝出来

执行 docker stop ef 命令停止刚刚创建的nginx容器，ef是容器Id，然后执行 docker rm ef 移除容器，

-v /docker-root/nginx/conf/nginxconf :/etc/nginx/nginxconf

/docker-root/nginx/conf/nginxconf 宿主机中的ngix配置文件 挂载 到容器的 /etc/nginx/nginxconf 配置文件

-v /docker-root/nginx/conf/confd:/etc/nginx/confd

/docker-root/nginx/conf/confd 宿主机中的 配置目录 confd 挂载到 容器的 /etc/nginx/confd 目录上

-v /docker-root/nginx/cert:/cert/

映射ssl 证书文件

命令，重新创建nginx容器

这样就可以将配置文件、log、静态页面映射到宿主机中。需要修改或者查看直接在宿主机中修改或者查看就可以了。需要注意的是， 配置文件虽然映射到宿主机中，但是如需配置路径，还需配置成容器中的路径 。

注意发布到 云服务器上 服务器安全组是否开放了443端口。

把 vue 生成的 dist目录下的文件 上传到 服务器

/root/docker-root/vue-mcyl-src

文件目录 dist 目录 Dockerfile 文件

转到 此目录下

使用下面的命令 生成镜像

启动容器

docker run -d mcyl-vue:v10

confd 目录下的配置文件 defaultconf

防火墙原因，需要将通信的端口开放

解决办法：

firewall-cmd --zone=public --add-port=9080/tcp --permanent

firewall-cmd --zone=public --add-port=8080-8080/tcp

参考 http://wwwttlsacom/web/multiple-https-host-nginx-with-a-ip-configuration/

这是网上摘抄的文章，正好想了解一下负载均衡，看这篇文章写的比较易懂，就。。。。

对于数据流量过大的网络中，往往单一设备无法承担，需要多台设备进行数据分流，而负载均衡器就是用来将数据分流到多台设备的一个转发器。

目前有许多不同的负载均衡技术用以满足不同的应用需求，如软/硬件负载均衡、本地/全局负载均衡、更高网络层负载均衡，以及链路聚合技术。

腾讯、淘宝、新浪等大型门户及商业网站使用的是软负载均衡器Nginx，而农行用的是F5硬负载均衡器，这里就简单介绍下这两种技术：

一软件负载均衡解决方案

在一台服务器的操作系统上，安装一个附加软件来实现负载均衡，如Nginx负载均衡（我们管理系统平台使用的也是这款均衡器）。它的优点是基于特定环境、配置简单、使用灵活、成本低廉，可以满足大部分的负载均衡需求。

1什么是Nginx

Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP代理服务器。可以说Nginx是目前使用最为广泛的HTTP软负载均衡器，其将源代码以类BSD许可证的形式发布（商业友好），同时因高效的性能、稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名于业界。像腾讯、淘宝、新浪等大型门户及商业网站都采用Nginx进行HTTP网站的数据分流。

2Nginx的功能特点

a工作在网络的7层之上，可以针对http应用做一些分流的策略，比如针对域名、目录结构；

bNginx对网络的依赖比较小；

cNginx安装和配置比较简单，测试起来比较方便；

d也可以承担高的负载压力且稳定，一般能支撑超过1万次的并发；

eNginx可以通过端口检测到服务器内部的故障，比如根据服务器处理网页返回的状态码、超时等等，并且会把返回错误的请求重新提交到另一个节点，不过其中缺点就是不支持url来检测；

fNginx对请求的异步处理可以帮助节点服务器减轻负载；

gNginx能支持http和Email，这样就在适用范围上面小很多；

h不支持Session的保持、对Big request header的支持不是很好，另外默认的只有Round-robin和IP-hash两种负载均衡算法。

3Nginx的原理

Nginx采用的是反向代理技术，代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。反向代理负载均衡技术是把将来自internet上的连接请求以反向代理的方式动态地转发给内部网络上的多台服务器进行处理，从而达到负载均衡的目的。

二硬件负载均衡解决方案

直接在服务器和外部网络间安装负载均衡设备，这种设备我们通常称之为负载均衡器。由于专门的设备完成专门的任务，独立于操作系统，整体性能得到大量提高，加上多样化的负载均衡策略，智能化的流量管理，可达到最佳的负载均衡需求。一般而言，硬件负载均衡在功能、性能上优于软件方式，不过成本昂贵，比如最常见的就是F5负载均衡器。

1什么是F5 BIG-IP

F5负载均衡器是应用交付网络的全球领导者F5 Networks公司提供的一个负载均衡器专用设备，F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

2F5 BIG-IP用作HTTP负载均衡器的主要功能

aF5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

bF5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。这样，只要其它的服务器正常，用户的访问就不会受到影响。宕机一旦修复，F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

cF5 BIG-IP具有动态Session的会话保持功能。

dF5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

三方案优缺点对比

1基于硬件的方式(F5)

优点：能够直接通过智能交换机实现,处理能力更强，而且与系统无关，负载性能强更适用于一大堆设备、大访问量、简单应用。

缺点：成本高，除设备价格高昂，而且配置冗余，很难想象后面服务器做一个集群，但最关键的负载均衡设备却是单点配置；无法有效掌握服务器及应用状态。

硬件负载均衡，一般都不管实际系统与应用的状态，而只是从网络层来判断，所以有时候系统处理能力已经不行了，但网络可能还来 得及反应（这种情况非常典型，比如应用服务器后面内存已经占用很多，但还没有彻底不行，如果网络传输量不大就未必在网络层能反映出来）。

2基于软件的方式(Nginx)

优点：基于系统与应用的负载均衡，能够更好地根据系统与应用的状况来分配负载。这对于复杂应用是很重要的，性价比高，实际上如果几台服务器，用F5之类的硬件产品显得有些浪费，而用软件就要合算得多，因为服务器同时还可以跑应用做集群等。

缺点：负载能力受服务器本身性能的影响，性能越好，负载能力越大。

国内据说迪普和深信服做的不错，手头没有啥资料，就不介绍了。

宝塔面板最新版nginx防火墙新增了单URL验证码模式。终于可以把首页添加进去了。以后每次访问就得输入验证码了。可以有效抵御采集佬、辣鸡爬虫了。（搜索蜘蛛IP、白名单IP不受限制）。

插件官网：宝塔面板官方网站

宝塔面板nginx防火墙单URL增强模式

位于宝塔面板 – 软件商店 – 专业版插件 – nginx防火墙 – 全局配置 – URL增强模式（独立设置某个URL验证规则，支持正则）。

小白设置了首页也就是/需要验证码才能查看。

宝塔面板单URL增强模式

可以选择URL跳转，验证码，人机验证和滑动验证。每一个都非常合适。小白建议选验证码或者滑动。

有兴趣的同学可以测试下pc6a学习分享的首页。是需要验证的窝。

目前还存在的缺点

只需验证一次，以后就不需要再校验。无法设置过期时间。

nginx防火墙、宝塔网站监控报表等插件为付费插件。有兴趣的同学，可以点击领取宝塔面板代金券。099元体验专业版（专业版和企业版可以免费使用nginx防火墙插件）。代金券插件、企业版均可以抵扣。