firewall-check

防火墙和防护软件检查修复

部分厂商防火墙/软防Agent等软件对于部署以及业务运行会造成影响，最佳实践是在服务器上关闭相关安全软件；如必须开启相关安全软件，请先停止防火墙程序，待部署业务运行成功后再开启，同时进行Bypass相关白名单处理，业务端口需要bypass 取消拦截放行，参考修复指南第9章的端口列表。

#### 部分厂商排查
ds_agent  # 查下 agent 关键字  ps aux | grep -i agent ,必须关掉
qaxsafed  # 奇安信，查下 qax 看看有没有其他的     ps aux | grep -i qax
secdog    # 也查下 dog 和 sec
sangfor_watchdog # 这个不影响，但是有它基本是深信服的虚拟化环境，会和flannel的8472端口冲突，见https://p.wpseco.cn/wiki/doc/626a0269352c70b82e6ac9fa
YDservice
Symantec
start360su_safed   # 推荐 ps aux | grep safe 先查下，再查 360 字样
gov_defence_service
gov_defence_guard      #  ps aux | grep defence 
wsssr_defence_daemon   # 奇安信服务器安全加固系统，和下面是一起的。目前遇到过影响 socat 运行和容器进程访问另一个机器上的mysql端口
wsssr_defence_service
wsssr_defence_agent   #影响pod网络
ics_agent
/opt/nubosh/vmsec-host/intedrity/bin/icsintedrity # docker -p 的都无法访问
/opt/nubosh/vmsec-host/file/bin/icsfilesec
edr_sec_plan   # ps aux | grep edr ,深信服的 edr ，这个会下发 iptables 规则，配置错了会影响 node 之间，以及 pod 和 pod 之间通信
titanagent     # 青藤云安全软件
# dynarose的安全软件，影响 docker 和 pod 的容器通信
ps -aux | grep -E 'blocklogc|collectclient|fwclient|identity|nodeclient|subconnc|subdomainc|sddog|sdc[c]' 
# 卡巴斯基，影响容器通信 systemctl disable --now kesl
ps aux | grep -E 'kaspersky|klnagent'
# 深信达，SDC 沙盒，没调整好配置会导致容器网络有问题
CnSinDa/SDC/Common/64/SDCAgent
CnSinDa/SDC/Secret/64/Secret