iptables配置docker服务端口访问限制

服务器系统为 CentOS 7

PS:CentOS 7自带iptables,但不自带****iptables-services,你有需要可以装,也可以不装,不影响本文的操作和阅读

遇到了一个需求,需要用iptables限制一个redis服务只能由指定的ip访问

似乎不难,于是网上查了一波,首先查到了这个

# 配置IPTABLES
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -j REJECT
#只允许配置的两个IP访问,注意一定要放在‘-A INPUT -p tcp --dport 6379 -j REJECT’的上面(如果放在下面是不生效的!!!!)

好像不难哈,赶紧实践一波

执行完后使用iptables -L -n命令可以查看当前所有的iptables规则

我们刚才执行的命令设置的是INPUT,所以我们这里只看INPUT【演示截图中我执行了两句,允许127.0.0.1,禁止其他】结果如下图所示

image.png

看起来没问题对吧

然后他就有问题了

说简单点就是,没任何效果,啥ip都能访问他

于是我再测试了一次,这次我只执行禁止所有ip访问的命令,一个ip我都不允许

很遗憾,并没有什么卵用,不管是别的服务器的redis-cli或着百度搜出来的端口扫描,统统都能访问

所以是为什么呢

因为我的redis服务是用docker起的,docker自己会往系统中注册一个虚拟网卡叫docker0,访问docker服务的流量会直接被转发到这张网卡上,而因为docker0在linux系统中会被视为一张网卡,所以他的iptables规则是独有的,我们刚才设置的INPUT对docker服务是不生效的

下图是docker规则

image.png

此时执行

iptables -I DOCKER -p tcp --dport 6379 -j DROP
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
iptables -L -n
image.png

就可以看到DOCKER规则中新增了两条,一条是禁止所有访问,一条是允许127.0.0.1访问

这时再测试就如我们所愿了

细心的同学应该会发现我这次执行的命令是先禁止,后允许,而上面第一个代码块中的命令顺序是先允许后禁止,这两个顺序其实都是对的,因为第一个代码块中是iptables -A,-A的意思是加在最后,而iptables的匹配顺序是从上到下,所以用-A往最后追加的话,那就是【先写先匹配】

而第二个代码块中的写法是iptables -I,-I的意思是加在最前,也就是上面截图中的效果,大家可以看到我加的这两条,明显是在规则链的最前面,那用-I往前追加的话,就是【先写后匹配】

到这里,我的需求,通过iptables限制6379端口只允许指定ip访问,已经实现了

但是我们刚才是通过写命令的方式实现的,这样进行的设置系统重启后就会消失

要如何做到系统重启后依然有效呢

查阅了难以计数的文档,尝试了我能找到的所有方法

都没有成功,至今无法实现

Centos7修改iptables规则并开机永久生效两种方式】此文中介绍了数种方案,可供参考【只是对DOCKER规则无效,对系统自带的INPOUT、FORWORD、OUTPUT、PREROUTING规则是有效的】

最后实现的效果就是,先将我们配置好的规则保存到备份配置文件中

iptables-save > /etc/sysconfig/iptables

或者用iptables-service保存【这个做法需要安装****iptables-services,实际效果和上面那句一样

service iptables save

然后在系统重启后手动加载此配置文件

iptables-restore < /etc/sysconfig/iptables

或着手动重启iptables【这个做法需要安装****iptables-services

systemctl restart iptables

然后就可以了

分析原因应该是:

服务器重启后,iptables服务先启动,启动后会去加载备份的配置文件,但是此时,docker服务还未启动,DOCKER规则链还未创建,所以虽然iptables有加载我们备份的配置,但他没法加载DPOCKER规则链上的内容,从而导致我们写的DOCKER规则链上的规则没有成功加载

而docker启动后,DOCKER规则链就存在了,这时不管是手动让iptables加载配置文件还是直接重启iptables让他自己再读一遍配置,我们备份的DOCKER规则就都能成功加载了

iptables常用命令

命令 效果
iptables -nvL 列出所有iptables规则
iptables -L -n 列出所有iptables规则
iptables -L -n --line-number 列出所有iptables规则,并显示编号【有编号才好删】
iptables-save > 文件绝对路径 将当前iptables规则保存到指定文件中
iptables-restore < 文件绝对路径 从指定文件中加载iptables规则

参考文章

redis 指定IP访问

配置redis外网可访问

Redis bind 限制和指定IP访问

设置iptables规则不生效

Centos7修改iptables规则并开机永久生效两种方式

iptables详解(1):iptables概念

iptables详解(9):iptables的黑白名单机制

iptables 设置指定IP客户端访问服务器redis端口

iptables rpm包下载页面【ctrl+f搜索iptables】

CentOS 7 iptables的安装及使用

CentOS7 下iptables安装与iptables使用

CentOS 7 iptables的安装及使用

Linux服务器如何删除iptables指定的规则?

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,772评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,458评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,610评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,640评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,657评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,590评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,962评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,631评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,870评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,611评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,704评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,386评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,969评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,944评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,179评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,742评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,440评论 2 342

推荐阅读更多精彩内容