防火墙
iptables
即时生效,重启后失效
查看、添加和删除
iptables -nL --line-number #查看当前规则
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口,-A 排在最后面,从上往下匹配
iptables -D INPUT 2 #删除 INPUT 指定行规则,第二行
iptables -I INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口,-I 排在前面,从上往下匹配
iptables -I INPUT -p tcp --dport 5700 -j DROP #禁止端口访问
service iptables save #保存修改规则
cat /etc/sysconfig/iptables #查看系统规则
iptables默认规则
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34:4104]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许我发出去的数据包入站
-A INPUT -p icmp -j ACCEPT
# 允许ICMP协议
-A INPUT -i lo -j ACCEPT
# 允许回环网卡
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
# 允许ssh连接
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机
COMMIT
限制docker暴露的对外访问端口
docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。
# 查询DOCKER表并显示规则编号
iptables -L DOCKER -n --line-number
# 修改对应编号的iptables 规则,这里添加了允许访问ip的限制
iptables -R DOCKER 5 -p tcp -m tcp -s 192.168.1.0/24 --dport 3000 -j ACCEPT
# 限制端口访问
iptables -I DOCKER -p tcp --dport 5701 -j DROP