服务器系统为 CentOS 7
PS：CentOS 7自带iptables，但不自带iptables-services，你有需要可以装，也可以不装，不影响本文的操作和阅读

遇到了一个需求，需要用iptables限制一个redis服务只能由指定的ip访问
似乎不难，于是网上查了一波，首先查到了这个

# 配置IPTABLES
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -j REJECT
＃只允许配置的两个IP访问，注意一定要放在‘-A INPUT -p tcp --dport 6379 -j REJECT’的上面（如果放在下面是不生效的！！！！）

好像不难哈，赶紧实践一波
执行完后使用iptables -L -n命令可以查看当前所有的iptables规则
我们刚才执行的命令设置的是INPUT，所以我们这里只看INPUT【演示截图中我执行了两句，允许127.0.0.1，禁止其他】结果如下图所示

看起来没问题对吧
然后他就有问题了
说简单点就是，没任何效果，啥ip都能访问他
于是我再测试了一次，这次我只执行禁止所有ip访问的命令，一个ip我都不允许
很遗憾，并没有什么卵用，不管是别的服务器的redis-cli或着百度搜出来的端口扫描，统统都能访问
所以是为什么呢

因为我的redis服务是用docker起的，docker自己会往系统中注册一个虚拟网卡叫docker0，访问docker服务的流量会直接被转发到这张网卡上，而因为docker0在linux系统中会被视为一张网卡，所以他的iptables规则是独有的，我们刚才设置的INPUT对docker服务是不生效的
下图是docker规则

此时执行

iptables -I DOCKER -p tcp --dport 6379 -j DROP
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
iptables -L -n

就可以看到DOCKER规则中新增了两条，一条是禁止所有访问，一条是允许127.0.0.1访问
这时再测试就如我们所愿了

细心的同学应该会发现我这次执行的命令是先禁止，后允许，而上面第一个代码块中的命令顺序是先允许后禁止，这两个顺序其实都是对的，因为第一个代码块中是iptables -A，-A的意思是加在最后，而iptables的匹配顺序是从上到下，所以用-A往最后追加的话，那就是【先写先匹配】
而第二个代码块中的写法是iptables -I，-I的意思是加在最前，也就是上面截图中的效果，大家可以看到我加的这两条，明显是在规则链的最前面，那 用-I往前追加的话，就是【先写后匹配】 了

到这里，我的需求，通过iptables限制6379端口只允许指定ip访问，已经实现了

但是我们刚才是通过写命令的方式实现的，这样进行的设置系统重启后就会消失
要如何做到系统重启后依然有效呢

查阅了难以计数的文档，尝试了我能找到的所有方法
都没有成功，至今无法实现

【Centos7修改iptables规则并开机永久生效两种方式】此文中介绍了数种方案，可供参考【只是对DOCKER规则无效，对系统自带的INPOUT、FORWORD、OUTPUT、PREROUTING规则是有效的】

最后实现的效果就是，先将我们配置好的规则保存到备份配置文件中

iptables-save > /etc/sysconfig/iptables

或者用iptables-service保存【这个做法需要安装iptables-services，实际效果和上面那句一样】

service iptables save

然后在系统重启后手动加载此配置文件

iptables-restore < /etc/sysconfig/iptables

或着手动重启iptables【这个做法需要安装iptables-services】

systemctl restart iptables

然后就可以了

分析原因应该是：
服务器重启后，iptables服务先启动，启动后会去加载备份的配置文件，但是此时，docker服务还未启动，DOCKER规则链还未创建，所以虽然iptables有加载我们备份的配置，但他没法加载DPOCKER规则链上的内容，从而导致我们写的DOCKER规则链上的规则没有成功加载

而docker启动后，DOCKER规则链就存在了，这时不管是手动让iptables加载配置文件还是直接重启iptables让他自己再读一遍配置，我们备份的DOCKER规则就都能成功加载了

iptables常用命令

命令	效果
iptables -nvL	列出所有iptables规则
iptables -L -n	列出所有iptables规则
iptables -L -n --line-number	列出所有iptables规则，并显示编号【有编号才好删】
iptables-save > 文件绝对路径	将当前iptables规则保存到指定文件中
iptables-restore < 文件绝对路径	从指定文件中加载iptables规则

参考文章

redis 指定IP访问
配置redis外网可访问
Redis bind 限制和指定IP访问
设置iptables规则不生效
Centos7修改iptables规则并开机永久生效两种方式
iptables详解（1）：iptables概念
iptables详解（9）：iptables的黑白名单机制
iptables 设置指定IP客户端访问服务器redis端口
iptables rpm包下载页面【ctrl+f搜索iptables】
CentOS 7 iptables的安装及使用
CentOS7 下iptables安装与iptables使用
CentOS 7 iptables的安装及使用
Linux服务器如何删除iptables指定的规则？

iptables配置docker服务端口访问限制相关推荐

docker 容器端口访问不到_docker容器无法访问宿主机端口的解决
最近在工作时遇到一个问题,docker容器无法访问宿主机的redis,telent6379端口不通. 经排查发现,该服务器启用了防火墙,防火墙把6379的端口的访问授权给docker0网卡访问即可. ...
docker swarm部署的docker服务无法访问外部的postgresql
在使用portainer(docker swarm)方式部署thingsboard集群服务时发现tb-node节点无法访问外部的postgresql服务,通过docker logs container ...
Docker 服务端口一览
最近研究微服务,使用Docker来进行部署应用.说实话docker是个好东西,只要编写好Dockerfile文件和docker-compose.yml文件,便能快速启动并运行相关服务. 调试过程中查看 ...
iptables屏蔽ip某个端口访问
全部端口 iptables -A INPUT -s 要禁用的ip地址 -j DROP 某个端口 iptables -A INPUT -s 要禁用的ip地址 -p tcp --dport 1521 -j ...
iptables限制Docker IP和端口访问
等保整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效.经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则 ...
除了默认的docker0网桥，启动Docker服务怎么指定使用的网桥
自定义网桥除了默认的 docker0 网桥,用户也可以指定网桥来连接各个容器. 在启动 Docker 服务的时候,使用 -b BRIDGE或--bridge=BRIDGE 来指定使用的网桥. 如果服 ...
linux下配置NAT服务
网络地址转换(NAT)是用于将一个地址域(如:专用Intranet)映射到另一个地址域(如:Internet)的标准方法.NAT允许一个机构专用 Intranet中的主机透明地连接到公共域中的主机,无 ...
Exchange 2010 RPC配置静态RPC端口客户端访问、通讯簿服务和公用文件夹连接
Exchange 2010 RPC客户端访问.通讯簿服务和公用文件夹连接配置静态RPC端口很多企业的邮件服务器都采用了微软的Exchange,而Exchange的客户端访问服务通过动态RPC端口来实 ...
Docker服务正常运行一段时间后突然无法访问问题排查
文章目录服务器重启后Docker服务访问失败一. 检查服务容器是否启动如果有容器未启动就启动容器二.检查是否被防火墙屏蔽如果端口未开放,有两种情况: 1. 不需要防火墙,直接关掉防火墙服务 ...

iptables配置docker服务端口访问限制

iptables常用命令

参考文章

iptables配置docker服务端口访问限制相关推荐

最新文章

热门文章