适用的操作系统centos
执行步骤后,除当前集群内的主机,其它主机均不能通过该端口访问
1、备份iptables
iptables-save > iptables.rule
添加访问白名单
此文档以redis、es端口为例,如果其它端口请替换8531:8536、9200、9300,192.168.1.2/192.168.1.3/192.168.1.4为集群ip地址,需要根据实际情况进行替换集群所有节点都需要执行,执行完成后192.168.1.2/192.168.1.3/192.168.1.4能访问redis,es端口其它的服务器都不允许访问
(8531:8536/18531:18536):redis端口
(9200/9300):es端口
iptables -I INPUT -p tcp --dport 8531:8536 -j DROP ##redis集群端口
iptables -I INPUT -p tcp --dport 18531:18536 -j DROP ##redis集群端口
iptables -I INPUT -p tcp --dport 9200 -j DROP ##Es端口
iptables -I INPUT -p tcp --dport 9300 -j DROP ##Es端口
iptables -I INPUT -s 192.168.1.2 -p tcp --dport 8531:8536 -j ACCEPT
iptables -I INPUT -s 192.168.1.2 -p tcp --dport 18531:18536 -j ACCEPT
iptables -I INPUT -s 192.168.1.2 -p tcp --dport 9200 -j ACCEPT
iptables -I INPUT -s 192.168.1.2 -p tcp --dport 9300 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -p tcp --dport 8531:8536 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -p tcp --dport 18531:18536 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -p tcp --dport 9200 -j ACCEPT
iptables -I INPUT -s 192.168.1.3 -p tcp --dport 9300 -j ACCEPT
iptables -I INPUT -s 192.168.1.4 -p tcp --dport 8531:8536 -j ACCEPT
iptables -I INPUT -s 192.168.1.4 -p tcp --dport 18531:18536 -j ACCEPT
iptables -I INPUT -s 192.168.1.4 -p tcp --dport 9200 -j ACCEPT
iptables -I INPUT -s 192.168.1.4 -p tcp --dport 9300 -j ACCEPT
做完过后通过telent测试
2、回滚
如果防火墙规则没有发生其它变化,可以通过**iptables-restore < iptables.rule