docker环境
容器业务,新增docker网卡,所以防护策略有所变化
(1,执行iptables-save > /etc/sysconfig/iptables保存现有的防护规则
(2,增删改查规则直接在/etc/sysconfig/iptables进行调整,然后iptables-restore < /etc/sysconfig/iptables加载到现网
(3,在rc.local启动配置里面添加iptables-restore < /etc/sysconfig/iptables,这样服务器重启的时候直接加载正确的防护策略
(4,如果服务器有误操作执行了 /bin/iptables.sh,覆盖了现有的防火墙规则,可以执行 iptables-restore < /etc/sysconfig/iptables进行恢复
(5,部署业务之前,先确认容器中有哪些服务和端口,然后和开发进行核对哪些端口需要对外,哪些端口只需要对内的
(6,提前在/etc/sysconfig/iptables文件中配置好不需要对外的端口防护规则(容器默认起来对外)
(7,iptables-restore < /etc/sysconfig/iptables加载策略,然后开始部署docker业务
(8,后续的维护基本上针对/etc/sysconfig/iptables,/bin/iptables.sh这个就不用了
eg,比如mysql和redis的端口只对内开放,可以编辑/etc/sysconfig/iptables,然后进行restore加载
#mysql
-A DOCKER -s 172.223.0.1/24 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -s 172.17.0.1/24 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -p tcp -m tcp --dport 3306 -j DROP
##redis
-A DOCKER -s 172.223.0.1/24 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -s 172.17.0.1/24 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -p tcp -m tcp --dport 6379 -j DROP