iptables 规则配置，docker 场景配置

常用命令：

-- 创建链
iptables -N WHITELIST_LX

-- 清空链
iptables -F WHITELIST_LX

-- 查看规则，编号
iptables -nL --line-number

-- 查看生效列表
iptables -L -v -n

-- 删除规则
iptables -D INPUT <number> 注意观察编号

注：firewalld 关闭也生效

普通应用：

• 拒绝其它服务访问本机的 8300 端口，配个基本的入站规则
• iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

常用场景：自己本服务集群的集群可以访问，其它IP拒绝访问

• 允许 192.168.2.207-192.168.2.210 范围的IP 访问，其余IP拒绝
• iptables -A INPUT -p tcp -m multiport --dport 8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
• iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

三台机器：192.168.2.207、192.168.2.208 ；本机 192.168.2.133

192.168.2.207 可以访问

本地访问不了

docker 场景配置：

• docker 启动会自动维护规则链，情况规则链，重启docker服务后，会自动创建。

启动一个容器，挂了 8400 -> 8300

添加规则

• 发现并不生效 😄

iptables -A INPUT -p tcp -m multiport --dport 8400 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dport 8400 -j DROP

本机依然可以访问

注： 对应docker 容器运行时，添加 iptables规则，需要带上 映射端口

添加一个新的链，白名单 iptables -N WHITELIST_LX

• 引用：
  • iptables -I INPUT -j WHITELIST_LX
  • iptables -I FORWARD -j WHITELIST_LX

• iptables -I WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
• iptables -A WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -j DROP