K8S模式下开放端口
禁止所有IP访问k8s的10250端口
iptables -t filter -I INPUT -i eth0 -p tcp -s 0.0.0.0/0 --dport 10250 -j DROP
允许192.14.10.0/24网段访问10250端口
iptables -t filter -I INPUT -i eth0 -p tcp -s 192.14.10.0/24 --dport 10250 -j ACCEPT
查看INPUT策略
iptables --line -nvL INPUT
Chain INPUT (policy ACCEPT 33454 packets, 8373K bytes)
num pkts bytes target prot opt in out source destination
1 758 112K ACCEPT tcp -- eth0 * 192.14.10.0/24 0.0.0.0/0 tcp dpt:10250
2 7 6532 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10250
3 333M 85G CILIUM_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 /* cilium-feeder: CILIUM_INPUT */
4 535M 130G KUBE-FIREWALL all -- * * 0.0.0.0/0 0.0.0.0/0
删除INPUT策略
#删除INPUT链第一条(num)规则
iptables -D INPUT 1
DOCKER模式下开放端口
限制docker指定端口访问策略
禁止所有IP访问docker的389端口
iptables -I DOCKER-USER -i eth0 -p tcp --dport 389 -j DROP
允许172.27.30.92地址访问docker的389端口
iptables -I DOCKER-USER -i eth0 -s 172.27.30.92 -p tcp --dport 389 -j ACCEPT
查询DOCKER-USER策略
[root@test ~]# iptables --line -nvL DOCKER-USER
Chain DOCKER-USER (1 references)
num pkts bytes target prot opt in out source destination
1 8 432 ACCEPT tcp -- eth0 * 172.27.30.92 0.0.0.0/0 tcp dpt:389
2 13 740 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:389
3 188 12524 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
删除DOCKER-USER策略
iptables -D DOCKER-USER 1
保存DOCKER-USER策略,默认临时生效
[root@test ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ]
限制IP访问
首先需添加一条禁止所有IP访问docker策略
iptables -I DOCKER-USER -i eth0 -s 0.0.0.0/0 -j DROP
注:允许上方命令后,如果出现容器无法上网问题,请将下方策略添加到上方策略前。文章来源:https://www.toymoban.com/news/detail-421090.html
iptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
在依次添加所有允许访问docker的IP,允许172.27.100.101地址访问docker文章来源地址https://www.toymoban.com/news/detail-421090.html
iptables -I DOCKER-USER -i eth0 -s 172.27.100.101 -j ACCEPT
到了这里,关于iptables规则链封端口的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
