k8s集群节点对接集群后iptables限制端口

已于 2022-08-02 18:20:23 修改
阅读量2.6k 收藏 2
点赞数
分类专栏: 防火墙 kubernetes 文章标签: kubernetes iptables
于 2020-08-18 11:00:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcm_linux/article/details/108042961
版权

测试目的:对接FI-C80,验证哪些Hadoop端口会对先知造成影响
测试环境:对接CDH
测试步骤:
1、更换对接Hadoop集群
2、节点关闭访问的Hadoop集群所有端口(阻止IP访问)
3、节点上一一开通Hadoop集群的端口
4、验证流程

环境:
k8s节点:172.27.231.103
配置集群节点:
172.27.234.31 qa-fic80-hdp01
172.27.234.43 qa-fic80-hdp02
172.27.234.51 qa-fic80-hdp03

以下为具体流程:


#检查是否安装iptables
service iptables status
#安装iptables服务
yum install iptables-services

#查看策略
iptables -L -n --line-number
#清理规则包括自定义的chain
iptables -F &&  iptables -X &&  iptables -F -t nat &&  iptables -X -t nat
#关闭kube-proxy()
systemctl stop kube-proxy
#限制所有Hadoop的IP
iptables -I INPUT -s 172.27.234.0/24 -j DROP
iptables -I OUTPUT  -d 172.27.234.0/24 -j DROP
 
#开放先知内部(后来发现开不开问题不大)
iptables -I INPUT -d 10.42.0.0/16 -j ACCEPT
iptables -I OUTPUT  -s 10.42.0.0/16 -j ACCEPT
#限制容器内(后来发现开不开问题不大)
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -j DROP
#开放先知内部转发(后来发现开不开问题不大)
iptables -I FORWARD  -s 10.42.0.0/16  -j ACCEPT
iptables -I FORWARD  -d 10.42.0.0/16  -j ACCEPT
#开发系统端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
#开放先知端口
iptables -I OUTPUT  -p tcp --sport 80 -j ACCEPT
iptables -I OUTPUT  -p tcp --sport 9527 -j ACCEPT
iptables -I OUTPUT  -p tcp --sport 6527 -j ACCEPT
iptables -I OUTPUT  -p tcp --sport 30000:32767 -j ACCEPT
iptables -I OUTPUT  -p tcp --sport 40121 -j ACCEPT
iptables -I INPUT  -p tcp --dport 80 -j ACCEPT
iptables -I INPUT  -p tcp --dport 9527 -j ACCEPT
iptables -I INPUT  -p tcp --dport 6527 -j ACCEPT
iptables -I INPUT  -p tcp --dport 30000:32767 -j ACCEPT
iptables -I INPUT  -p tcp --dport 40121 -j ACCEPT
 
#开放kerberos相关端口
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  21730 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  21731 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p udp --sport  21732 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  21730 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  21731 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p udp --dport  21732 -j ACCEPT
iptables -I FORWARD -s 172.27.234.0/24  -d 10.244.0.0/16 -p tcp --sport 21730 -j ACCEPT
iptables -I FORWARD -s 172.27.234.0/24  -d 10.244.0.0/16 -p tcp --sport 21731 -j ACCEPT
iptables -I FORWARD -s 172.27.234.0/24  -d 10.244.0.0/16 -p udp --sport 21732 -j ACCEPT
iptables -I FORWARD -d 172.27.234.0/24  -s 10.244.0.0/16 -p tcp --dport 21730 -j ACCEPT
iptables -I FORWARD -d 172.27.234.0/24  -s 10.244.0.0/16 -p tcp --dport 21731 -j ACCEPT
iptables -I FORWARD -d 172.27.234.0/24  -s 10.244.0.0/16 -p udp --dport 21732 -j ACCEPT
#开放hdfs相关端口
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25009 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25009 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25008 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25008 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25010 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25010 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25011 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25011 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25015 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25015 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25018 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25018 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25020 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25020 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25019 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25019 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25012 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25012 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25013 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25013 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25014 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25014 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  5080 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  5080 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  5443 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  5443 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25002 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25002 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25003 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25003 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25005 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25005 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25006 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25006 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  25000 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  25000 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26007 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26007 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26008 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26008 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  27100:27999 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  27100:27999 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26009 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26009 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26010 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26010 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26006 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26006 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26005 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26005 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26004 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26004 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26003 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26003 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26002 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26002 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26001 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26001 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  26000 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  26000 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  23060 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  23060 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  23020 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  23020 -j ACCEPT
 
####fi界面使用端口#########
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  20026 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  20026 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  20027 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  20027 -j ACCEPT
iptables  -I OUTPUT -d  172.27.234.0/24 -p tcp --dport  20009 -j ACCEPT
iptables  -I INPUT -s  172.27.234.0/24 -p tcp --sport  20009 -j ACCEPT
 
#开放forward端口
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25009 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25008 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25010 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25011 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25015 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25018 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25020 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25019 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25012 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25013 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 5080 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 5443 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25002 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25003 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25005 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25000 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 25006 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26007 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26008 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 27100:27999 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26009 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26010 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26006 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26005 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26004 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26003 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26002 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26001 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 26000 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 23060 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 23020 -j ACCEPT
 
######fi界面
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 20026 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 20027 -j ACCEPT
iptables -I FORWARD  -s 10.244.0.0/16 -d 172.27.234.0/24 -p tcp --dport 20009 -j ACCEPT
 
 
####反过来
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25009 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25008 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25010 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25011 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25015 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25018 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25020 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25019 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25012 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25013 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 5080 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 5443 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25002 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25003 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25005 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25000 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 25006 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26007 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26008 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 27100:27999 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26009 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26010 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26006 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26005 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26004 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26003 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26002 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26001 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 26000 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 23060 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 23020 -j ACCEPT
 
######fi界面
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 20026 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 20027 -j ACCEPT
iptables -I FORWARD  -d 10.244.0.0/16 -s 172.27.234.0/24 -p tcp --sport 20009 -j ACCEPT


[root@node-4pd ~]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:23020
2    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:23060
3    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26000
4    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26001
5    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26002
6    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26003
7    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26004
8    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26005
9    ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26006
10   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26010
11   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26009
12   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spts:27100:27999
13   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26008
14   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:26007
15   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25000
16   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25005
17   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25003
18   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25002
19   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:5443
20   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:5080
21   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25014
22   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25013
23   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25012
24   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25019
25   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25020
26   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25018
27   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25015
28   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25011
29   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25010
30   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25008
31   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:25009
32   ACCEPT     udp  --  172.27.234.0/24      0.0.0.0/0            udp spt:21732
33   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:21731
34   ACCEPT     tcp  --  172.27.234.0/24      0.0.0.0/0            tcp spt:21730
35   KUBE-SERVICES  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */
36   KUBE-FIREWALL  all  --  0.0.0.0/0            0.0.0.0/0          
37   ACCEPT     all  --  10.244.0.0/16        10.42.0.0/16       
38   ACCEPT     all  --  0.0.0.0/0            10.42.0.0/16       
39   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
40   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9108
41   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9308
42   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9411
43   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6565
44   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9104
45   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:31984
46   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
47   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:40121
48   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:30000:32767
49   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6527
50   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9527
51   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
52   DROP       all  --  172.27.234.0/24      0.0.0.0/0          
53   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
54   ACCEPT     all  --  127.0.0.1            127.0.0.1          
55   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
56   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
57   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2379
58   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2380
59   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6443
60   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8080
61   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10080
62   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8443
63   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:35000
64   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:35001
65   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10248
66   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10250
67   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9100
68   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9101
69   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10251
70   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10252
71   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10256
72   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:4194
73   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:8472
74   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2181
75   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2381
76   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2382
77   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2383
 
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:23020
2    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:23060
3    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26000
4    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26001
5    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26002
6    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26003
7    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26004
8    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26005
9    ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26006
10   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26010
11   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26009
12   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spts:27100:27999
13   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26008
14   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:26007
15   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25000
16   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25005
17   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25003
18   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25002
19   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:5443
20   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:5080
21   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25013
22   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25012
23   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25019
24   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25020
25   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25018
26   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25015
27   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25011
28   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25010
29   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25008
30   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:25009
31   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26012
32   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26013
33   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26014
34   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26015
35   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:20009
36   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:20027
37   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:20026
38   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:24002
39   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:23020
40   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:23060
41   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26000
42   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26001
43   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26002
44   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26003
45   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26004
46   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26005
47   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26006
48   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26010
49   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26009
50   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpts:27100:27999
51   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26008
52   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:26007
53   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25006
54   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25000
55   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25005
56   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25003
57   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25002
58   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:5443
59   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:5080
60   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25013
61   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25012
62   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25019
63   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25020
64   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25018
65   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25015
66   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25011
67   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25010
68   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25008
69   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:25009
70   ACCEPT     udp  --  10.244.0.0/16        172.27.234.0/24      udp dpt:21732
71   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:21731
72   ACCEPT     tcp  --  10.244.0.0/16        172.27.234.0/24      tcp dpt:21730
73   ACCEPT     udp  --  172.27.234.0/24      10.244.0.0/16        udp spt:21732
74   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:21731
75   ACCEPT     tcp  --  172.27.234.0/24      10.244.0.0/16        tcp spt:21730
76   KUBE-FORWARD  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes forward rules */
77   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
78   ACCEPT     all  --  10.42.0.0/16         10.244.0.0/16      
79   ACCEPT     all  --  10.244.0.0/16        10.42.0.0/16       
80   ACCEPT     all  --  0.0.0.0/0            10.42.0.0/16       
81   ACCEPT     all  --  10.42.0.0/16         0.0.0.0/0          
82   DROP       all  --  10.244.0.0/16        172.27.234.0/24    
83   ACCEPT     all  --  10.244.0.0/16        0.0.0.0/0          
84   ACCEPT     all  --  0.0.0.0/0            10.244.0.0/16      
 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:23020
2    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:23060
3    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26000
4    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26001
5    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26002
6    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26003
7    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26004
8    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26005
9    ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26006
10   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26010
11   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26009
12   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpts:27100:27999
13   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26008
14   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:26007
15   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25000
16   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25005
17   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25003
18   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25002
19   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:5443
20   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:5080
21   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25014
22   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25013
23   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25012
24   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25019
25   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25020
26   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25018
27   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25015
28   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25011
29   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25010
30   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:25008
31   ACCEPT     udp  --  0.0.0.0/0            172.27.234.0/24      udp dpt:21732
32   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:21731
33   ACCEPT     tcp  --  0.0.0.0/0            172.27.234.0/24      tcp dpt:21730
34   KUBE-SERVICES  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */
35   KUBE-FIREWALL  all  --  0.0.0.0/0            0.0.0.0/0          
36   ACCEPT     all  --  10.244.0.0/16        10.42.0.0/16       
37   ACCEPT     all  --  10.42.0.0/16         0.0.0.0/0          
38   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:443
39   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9108
40   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9308
41   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9411
42   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:6565
43   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9104
44   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:31984
45   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:3306
46   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:40121
47   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spts:30000:32767
48   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:6527
49   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9527
50   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:80
51   DROP       all  --  0.0.0.0/0            172.27.234.0/24    
52   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:22 state ESTABLISHED
53   ACCEPT     all  --  127.0.0.1            127.0.0.1          
54   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:53 state ESTABLISHED
55   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53 state ESTABLISHED
56   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2379 state ESTABLISHED
57   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2380 state ESTABLISHED
58   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:6443 state ESTABLISHED
59   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:8080 state ESTABLISHED
60   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10080 state ESTABLISHED
61   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:8443 state ESTABLISHED
62   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:35000 state ESTABLISHED
63   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:35001 state ESTABLISHED
64   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10248 state ESTABLISHED
65   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10250 state ESTABLISHED
66   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9100 state ESTABLISHED
67   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:9101 state ESTABLISHED
68   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10251 state ESTABLISHED
69   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10252 state ESTABLISHED
70   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:10256 state ESTABLISHED
71   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:4194 state ESTABLISHED
72   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:8472 state ESTABLISHED
73   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2181 state ESTABLISHED
74   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2381 state ESTABLISHED
75   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2382 state ESTABLISHED
76   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:2383 state ESTABLISHED
 
Chain KUBE-FIREWALL (2 references)
num  target     prot opt source               destination        
1    DROP       all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes firewall for dropping marked packets */ mark match 0x8000/0x8000
 
Chain KUBE-FORWARD (1 references)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes forwarding rules */ mark match 0x4000/0x4000
2    ACCEPT     all  --  10.244.0.0/16        0.0.0.0/0            /* kubernetes forwarding conntrack pod source rule */ ctstate RELATED,ESTABLISHED
3    ACCEPT     all  --  0.0.0.0/0            10.244.0.0/16        /* kubernetes forwarding conntrack pod destination rule */ ctstate RELATED,ESTABLISHED
 
Chain KUBE-SERVICES (2 references)
num  target     prot opt source               destination        
1    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            /* prophet-resource-test/online-predictor-1:ui-port has no endpoints */ ADDRTYPE match dst-type LOCAL tcp dpt:30484 reject-with icmp-port-unreachable
2    REJECT     tcp  --  0.0.0.0/0            10.42.56.20          /* prophet-resource-test/online-predictor-1:ui-port has no endpoints */ tcp dpt:7711 reject-with icmp-port-unreachable
3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            /* prophet-resource-test/online-predictor-4:ui-port has no endpoints */ ADDRTYPE match dst-type LOCAL tcp dpt:30727 reject-with icmp-port-unreachable
4    REJECT     tcp  --  0.0.0.0/0            10.42.229.179        /* prophet-resource-test/online-predictor-4:ui-port has no endpoints */ tcp dpt:7711 reject-with icmp-port-unreachable
5    REJECT     tcp  --  0.0.0.0/0            10.42.189.110        /* monitoring/nvidia-gpu-exporter:http has no endpoints */ tcp dpt:9445 reject-with icmp-port-unreachable
[root@node-4pd ~]#

附上本次测试整体iptables策略:
本次踩坑:
物理机限制Hadoop的IP后,telnet不通;但是先知pod中telnet,是通的,也就是说iptables增加OUTPUT/INPUT后,对pod中的规则没变化
解决:
1、尝试在KUBE-FORWARD限制pod中的IP与外部Hadoop的IP----------更改规则后,自动还原(此时关闭kube-proxy服务,再次修改后生效)
2、清除所有规则后,在FORWARD中配置pod的虚拟IP与外界Hadoop的IP之间的规则(不需要关闭kube-proxy服务)
总结:
pod外的IP规则受OUTPUT/INPUT限制,pod内受FORWARD限制,因此在k8s环境或者有docker服务的机器上配置iptables规则时要OUTPUT、INPUT、FORWARD(双向)都要考虑。

lcm_linux
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一键安装部署k8s,博客里部署操作
01-06
1、系统环境: centos 7 纯净系统; 2、只适用部署1台master + 2台node ; 3、在脚本 install-etcd-flannel-k8s.sh 中设置 3台的IP; 4、做好master到两台node的免密登陆; 5、将安装包放在master上,直接执行bash install-etcd-flannel-k8s.sh 即可; 6、docker使用了aliyun的镜像库安装,2台node需要访问外网,其它组件全部为二进制,已放在安装包中 7、flannel网段 172.17.0.0/16 8、service网段 10.0.0.0/24
kubernetesKube-proxyiptables转发规则
热门推荐
田园园野的博客
06-01 1万+
概念 kube-proxy 实际上并不起一个 proxy 的作用,而是 watch 变更并更新 iptables,也就是说,client 的请求直接通过 iptables 路由。 如果kube-proxy通过iptables 转发。会修改filter和nat表 filter表 filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的end...
【云原生】k8s 前置环境 网络配置 VMware Linux共享上网(iptables forward)
最新发布
一zhi小白的博客
02-17 1004
Linux 共享上网 VMware iptables forward
通过iptables限制K8S的nodeport
weixin_44207346的博客
03-24 1542
外部主机访问master01:30090->NAT表PREROUTING->NAT表KUBE-SERVICES(因为不是CLUSTER_IP,因此不用判断,直接进入下一步)->NAT表KUBE-NODE-PORT->NAT表KUBE-MARK-MASQ->NAT表KUBE-SVC-UVFA6R2T7DODYNMU->DNAT把该主机的30090端口的访问转发至->10.233.10.67:443上。IP,即就是通过DNAT把该主机的30090端口的访问转发至->10.233.10.67:443上。
Kubernetes-部署k8s前环境部署
咸鱼很闲
12-05 239
一下安装k8s集群要求在7.5或者之上 主机域名解析 为了方便以后集群节点间的直接使用,在这配置一下主机域名,企业中推荐使用内部DNS服务器 #在三台服务器/etc/hosts文件添加 10.0.0.7 master 10.0.0.17 node1 10.0.0.27 node2 时间同步 kubernetes要求集群中的节点时间必须精确一致,这里直接使用chronyd服务从网络同步时间。企业中建议配置内部的时间同步服务器 #启动服务 [ root@master ~]#systemctl start ch
12、KubernetesKubeProxy实现之iptables和ipvs
weixiaohuai的博客
09-30 1271
iptables和ipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
解决k8s默认端口限制
weixin_42715225的博客
07-13 3453
解决k8s默认端口限制
iptables规则链封端口
m0_37642477的博客
04-18 665
禁止所有IP访问k8s的10250端口允许192.14.10.0/24网段访问10250端口查看INPUT策略删除INPUT策略。
k8s安装禁用iptables和firewalld
小泽
06-22 470
k8s
k8s同命名空间下服务访问另一个服务开放端口被拒绝
weixin_42577243的博客
01-05 457
Kubernetes 中,如果两个服务在同一个命名空间内,那么默认情况下它们是可以互相访问的。但是如果有一个服务的开放端口被拒绝,那么可能是因为这个服务的网络配置不正确,或者它的防火墙规则被设置成拒绝访问。你可以检查这个服务的网络配置,确保它的开放端口是正确的,并检查它的防火墙规则,确保它没有被设置成拒绝访问。 ...
k8s使用详解
weixin_42552572的博客
02-22 1194
克隆三台虚拟机 虚拟机克隆部分不再赘述,注意: 克隆后ifconfig查看网卡ens3x所对应的ip,进入/etc/sysconfig/network-scripts/ifcfg-ens32修改1、ip为对应的IP;2、BOOTPROTO=static (本文所述三台ip分别为:192.168.29.131、192.168.29.134、192.168.29.133,主机名对应为k8s-0、k8s-1、k8s-2) 环境准备 主机名解析 cat >> /etc/hosts <<
k8s iptables_study.docx
02-14
关于k8s iptables的学习,分析了k8s是如何使用iptables的,以及iptable里面的规则。用于了解外部访问k8siptables所发挥的作用,便于知道数据流的走向。
K8S从懵圈到熟练–集群服务的三个要点和一种实现
02-24
以我的经验来讲,理解K8S集群服务的概念,是比较不容易的一件事情。尤其是当我们基于似是而非的理解,去排查服务相关问题的时候,会非常不顺利。这体现在,对于新手来说,ping不通服务的IP地址这样基础的问题,都很...
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Linux下iptables 禁止端口和开放端口示例
09-15
本篇文章主要介绍了Linux下iptables 禁止端口和开放端口示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
k8s 源码分析——kube-proxyproxyMode: iptables
wei
04-06 684
release-1.20 功能概述 源码走读 kube-proxy 入口: kubernetes/cmd/kube-proxy/proxy.go 启动命令: /hyperkube proxy --v=2 --kubeconfig=/etc/kubernetes/kube-proxy-kubeconfig.yaml --bind-address=10.164.28.57 --cluster-cidr=100.101.0.0/16 --proxy-mode=iptables --oom-score-adj.
kube-proxy源码阅读(iptables实现)
八月对半
03-03 1618
Reference 文章目录1 入口2 ProxyServer创建及调用3 ProxyServer 核心调用流程3.1 func (o *Options) Run() err3.2 func (o *Options) runLoop() error3.3 func (s *ProxyServer) Run() error3.4 func (proxier *Proxier) SyncLoop()4 资源事件处理流程4.1 Service事件4.2 Endpoints事件4.3 Nodes事件4.4 func
KUBERNETES04_Service服务ClusterIP、NodePort方式、Ingress域名访问、路径重写、限流操作
Vic的博客
06-09 1173
①. Service服务发现ClusterIP方式 ②. Service服务暴露NodePort方式 ③. Ingress的概述以安装 ④. Ingress的域名访问 ⑤. Ingress的路径重写 ⑥. Ingress的限流操作
k8s高可用集群搭建
w2909526的博客
05-30 742
环境规划 k8s-master1 haproxy-1 192.168.100.97 k8s-master2 haproxy-2 192.168.100.98 k8s-master3 192.168.100.99 node1 192.168.100.100 node2 192.168.100.101 VIP/SLB 192.168.10.10 使用haproxy+keepalived的方式做apiserver的高可用搭建 这里不做过多赘述 另外etcd可做外置方式进行配置
K8S集群忘关防火墙
10-10
K8S集群忘关防火墙可能导致网络连接问题和安全漏洞。如果忘记关闭防火墙,可能会导致节点间的通信受阻,服务无法正常访问。此外,未关闭防火墙也会增加攻击者入侵的风险。 为了解决这个问题,您可以按照以下步骤操作: 1. 检查防火墙规则:查看当前防火墙规则是否被配置为阻止K8S集群的网络流量。可以使用iptables或firewall-cmd等命令来查看和修改规则。 2. 开放所需端口:确保K8S集群所需的端口已经打开,例如,API服务器端口(默认为6443)、kubelet端口(默认为10250)等。在检查端口时,还应该确认是否需要开放其他必要的服务端口。 3. 检查网络策略:在Kubernetes中,还存在网络策略(Network Policies)来控制pod之间的网络访问。如果防火墙阻止了这些流量,则需要相应地更新网络策略规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值