国产openeuler22.03容器环境下/etc/sysconfig/iptables保存的防火墙策略在服务器重启后不生效的问题分析和解决

已于 2023-11-24 08:08:41 修改
阅读量2.4k 收藏
点赞数
分类专栏: 运维 容器 国产操作系统 文章标签: 服务器 linux 运维
于 2023-06-09 08:37:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forestqq/article/details/131111517
版权
在openEuler 22.03容器环境中,通过iptables设置的防火墙策略在服务器重启后失效,主要表现为“Chain DOCKER”链中的限制策略不生效。经过分析,确定问题是由docker服务在iptables之后启动导致。解决措施包括在iptables服务启动后立即重启iptables,以确保配置生效。通过修改配置文件并重启docker服务,成功解决了策略不持久的问题。
摘要由CSDN通过智能技术生成

openeuler22.03容器环境下可以通过iptables进行访问限制以保障容器安全,但发现服务器重启后,在“Chain DOCKER"链中的配置不生效(其实centos/redhat环境也有相同问题)。本文对其原因进行分析并提供解决办法。

一、问题现象

1、配置策略前

测试服务器192.168.80.132上运行了一个容器,将容器内的22映射到了主机的4434端口:

# docker ps 
CONTAINER ID        IMAGE                       COMMAND                  CREATED             STATUS              PORTS                  NAMES
692ce4d13d67        atmoz/sftp:debian-stretch   "/entrypoint sftp:11…"   13 minutes ago      Up 6 minutes        0.0.0.0:4434->22/tcp   sftpsrv

测试服务情况本机及网内主机均可正常访问:

# telnet 192.168.80.132 4434
Trying 192.168.80.132...
Connected to 192.168.80.132.
Escape character is '^]'.

运行iptables -nL查看防火墙“Chain DOCKER"链数据如下:

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:22

运行servcie iptables save保存当前iptables数据,运行cat /etc/sysconfig/iptables查看“Chain DOCKER"链配置

-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 22 -j ACCEPT

2、配置策略

修改该段配置为,仅允许宿主机访问:

-A DOCKER -s 192.168.80.132/32 -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 22 -j ACCEPT
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 22 -j DROP

 重启iptables服务并进行策略查看如下&#

最低0.47元/天 解锁文章
代先生.重庆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决Cent0S 6.7直接在/etc/resolv.conf文件下修改DNS地址重启不生效问题
09-15
总结来说,解决CentOS 6.7中`/etc/resolv.conf`修改DNS不生效问题,关键在于理解NetworkManager如何管理网络配置,并在`/etc/sysconfig/network-scripts/ifcfg-eth0`文件中正确地设定DNS服务器。这样,即使重启,...
iptables配置(/etc/sysconfig/iptables)操作方法
09-15
下面小编就为大家带来一篇iptables配置(/etc/sysconfig/iptables)操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iptables配置不见了??
04-13 1071
最近学习iptable的时候,发现重启后配置就会清零 <!-- @page {margin:2cm} p {margin-bottom:0.21cm; direction:ltr; color:#000000; line-height:125%; text-align:justify; widows:0; orphans:0} p.western {
iptables加了规则后,生效
red_sky_blue的专栏
09-08 2720
127.0.0.1在iptables中的应用
学习iptables 学习查看docker网络配置
最新发布
勤不了一点
05-14 189
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
你好,OpenEuler ! (五、网络管理和防火墙
weixin_41633010的博客
11-21 2662
路虽远行则将至,事虽难做则必成!滴水穿石,聚沙成塔!如有侵权,请留言,我及时删除。
docker重启iptables策略失效
qq_43665434的博客
09-27 3612
docker重启iptables策略失效,--iptables=false禁用后又阻断了容器进程,最后问题解决
IPTABLES报错问题-restorecon
weixin_45052781的博客
01-18 1129
iptables报错问题解决_restorecon相关
Linux配置完iptables后,重启失效的解决方案
weixin_34029680的博客
11-11 2610
Linux配置完iptables后,重启失效的解决方案 因为只有root用户才可访问1024以下的端口,非root用户登陆是不能启用80端口的。web service 往往启动1024以上的端口,并通过iptables映射到80.  1、将server.xml中的端口改为8080  2、然后:iptables -t nat -A PREROUTING -p tcp --dport...
新装linux系统/etc/sysconfig目录下无iptables文件的解决方法
01-20
后来发现在/etc/sysconfig目录下iptables文件(防火墙策略一般都写在此文件中)。 原因:在新安装的Linux系统中,防火墙默认是被禁掉的,一般也有配置过任何防火墙策略,所有不存在/etc/sysconfig/...
iptables添加规则无效
q1009020096的博客
04-07 5809
查看目前个链路防火墙规则: iptables -L -n 在Centos6中使用iptables作为防火墙,默认情况防火墙拒绝所有来源的输入。 注意:列表的中顺序代表防火墙规则执行的顺序,按顺序依次执行。 若现在我需要暴露30000端口,使用如下规则: iptables -A INPUT -p tcp --dport 30000 -j ACCEPT -A 表示 add 添加新规则,添加的规则会追加到列表的最后, INPUT 表表示数据进入时生效。 -p 协议,tcp ---dport 目标端口 -
iptables应用手册详细介绍
04-06
有关iptables指令的使用详细介绍。iptable能够为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台。
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
CentOS7 firewalld相关命令
u010375456的博客
08-13 701
1、firewalld的基本使用 安装防火墙:yum install firewalld systemd -y 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld firewall-cmd --state 开机禁用 : systemctl disabl...
阿里云防火墙自定义安装iptables无效
每天进步一点点儿
11-30 1278
写了个简单的nodejs服务,放到阿里云上,无奈访问不了。被坑了两天时间,各种排查,查看防火墙那个端口已经打开了,却还是访问不了,原来是 iptables 这个设置的无效,必须在安全组里添加出栈入栈规则才可以!!!坑死人了,哎! ...
iptables】常用命令及添加规则无效问题解决
enhengaha的博客
04-17 1220
iptables常用命令 Iptables 常用命令汇总 Iptables 命令规则------注意:此文中表名应为nat而不是net。 添加iptables规则的方法 Iptables详解 Iptables详解摘抄整理 iptables添加规则后不生效 添加的端口开放命令必须要添加在以下规则之前 -A INPUT -j REJECT --reject-with icmp-host-prohibited ...
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4528
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
rsync -av 192.168.10.109@root:/etc/sysconfig/network-scripts /etc/sysconfig/network-scripts
07-27
在使用 rsync 命令时,你需要注意以下几点: 1. 你应该使用 `rsync` 命令的 `-e` 选项来指定远程主机的 SSH 登录方式。例如,如果你想使用密码进行 SSH 登录,可以添加 `-e "sshpass -p your_password ssh"` 到命令中。如果你已经设置了 SSH 密钥对,则不需要使用密码登录。 2. 在指定远程主机时,应该将用户名和主机名用 `user@host` 的格式表示。在你的命令中,用户名 `192.168.10.109` 是无效的。应该将其更正为正确的用户名。假设正确的用户名是 `root`,那么命令应该是: ``` rsync -av -e "sshpass -p your_password ssh" root@192.168.10.109:/etc/sysconfig/network-scripts /etc/sysconfig/network-scripts ``` 注意替换 `your_password` 为远程主机的密码。 请确保你具有适当的权限,并且远程主机上的 SSH 服务已正确配置。如果你仍然遇到问题,请提供任何错误消息以获得更详细的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代先生.重庆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值