iptables配置docker服务端口访问限制
服务器系统为 CentOS 7
PS:CentOS 7自带iptables,但不自带iptables-services,你有需要可以装,也可以不装,不影响本文的操作和阅读
遇到了一个需求,需要用iptables限制一个redis服务只能由指定的ip访问
似乎不难,于是网上查了一波,首先查到了这个
# 配置IPTABLES
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -j REJECT
#只允许配置的两个IP访问,注意一定要放在‘-A INPUT -p tcp --dport 6379 -j REJECT’的上面(如果放在下面是不生效的!!!!)
好像不难哈,赶紧实践一波
执行完后使用iptables -L -n
命令可以查看当前所有的iptables规则
我们刚才执行的命令设置的是INPUT,所以我们这里只看INPUT【演示截图中我执行了两句,允许127.0.0.1,禁止其他】结果如下图所示
看起来没问题对吧
然后他就有问题了
说简单点就是,没任何效果,啥ip都能访问他
于是我再测试了一次,这次我只执行禁止所有ip访问的命令,一个ip我都不允许
很遗憾,并没有什么卵用,不管是别的服务器的redis-cli或着百度搜出来的端口扫描,统统都能访问
所以是为什么呢
因为我的redis服务是用docker起的,docker自己会往系统中注册一个虚拟网卡叫docker0,访问docker服务的流量会直接被转发到这张网卡上,而因为docker0在linux系统中会被视为一张网卡,所以他的iptables规则是独有的,我们刚才设置的INPUT对docker服务是不生效的
下图是docker规则
此时执行
iptables -I DOCKER -p tcp --dport 6379 -j DROP
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
iptables -L -n
就可以看到DOCKER规则中新增了两条,一条是禁止所有访问,一条是允许127.0.0.1访问
这时再测试就如我们所愿了
细心的同学应该会发现我这次执行的命令是先禁止,后允许,而上面第一个代码块中的命令顺序是先允许后禁止,这两个顺序其实都是对的,因为第一个代码块中是iptables -A
,-A的意思是加在最后,而iptables的匹配顺序是从上到下,所以用-A往最后追加的话,那就是【先写先匹配】
而第二个代码块中的写法是iptables -I
,-I的意思是加在最前,也就是上面截图中的效果,大家可以看到我加的这两条,明显是在规则链的最前面,那**用-I往前追加的话,就是【先写后匹配】**了
到这里,我的需求,通过iptables限制6379端口只允许指定ip访问,已经实现了
但是我们刚才是通过写命令的方式实现的,这样进行的设置系统重启后就会消失
要如何做到系统重启后依然有效呢
查阅了难以计数的文档,尝试了我能找到的所有方法
都没有成功,至今无法实现
**
【Centos7修改iptables规则并开机永久生效两种方式】此文中介绍了数种方案,可供参考【只是对DOCKER规则无效,对系统自带的INPOUT、FORWORD、OUTPUT、PREROUTING规则是有效的】**
**
最后实现的效果就是,先将我们配置好的规则保存到备份配置文件中
iptables-save > /etc/sysconfig/iptables
或者用iptables-service保存【这个做法需要安装iptables-services,实际效果和上面那句一样】
service iptables save
然后在系统重启后手动加载此配置文件
iptables-restore < /etc/sysconfig/iptables
或着手动重启iptables【这个做法需要安装iptables-services】
systemctl restart iptables
然后就可以了
分析原因应该是:
服务器重启后,iptables服务先启动,启动后会去加载备份的配置文件,但是此时,docker服务还未启动,DOCKER规则链还未创建,所以虽然iptables有加载我们备份的配置,但他没法加载DPOCKER规则链上的内容,从而导致我们写的DOCKER规则链上的规则没有成功加载
而docker启动后,DOCKER规则链就存在了,这时不管是手动让iptables加载配置文件还是直接重启iptables让他自己再读一遍配置,我们备份的DOCKER规则就都能成功加载了
iptables常用命令
命令 | 效果 |
---|---|
iptables -nvL | 列出所有iptables规则 |
iptables -L -n | 列出所有iptables规则 |
iptables -L -n --line-number | 列出所有iptables规则,并显示编号【有编号才好删】 |
iptables-save > 文件绝对路径 | 将当前iptables规则保存到指定文件中 |
iptables-restore < 文件绝对路径 | 从指定文件中加载iptables规则 |
参考文章
redis 指定IP访问
配置redis外网可访问
Redis bind 限制和指定IP访问
设置iptables规则不生效
Centos7修改iptables规则并开机永久生效两种方式
iptables详解(1):iptables概念
iptables详解(9):iptables的黑白名单机制
iptables 设置指定IP客户端访问服务器redis端口
iptables rpm包下载页面【ctrl+f搜索iptables】
CentOS 7 iptables的安装及使用
CentOS7 下iptables安装与iptables使用
CentOS 7 iptables的安装及使用
Linux服务器如何删除iptables指定的规则?