【博客696】iptables中的-m addrtype --dst-type含义

已于 2023-08-12 15:52:51 修改
阅读量901 收藏 1
点赞数
文章标签: 服务器 kubernetes 容器 devops
于 2023-08-12 15:16:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43684922/article/details/132249152
版权

iptables中的-m addrtype --dst-type含义

场景:

使用docker容器时,一定会在iptables的NAT表中看到下在这样的一条配置规则:

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

-m addrtype --dst-type解析

1、-m addrtype

iptables提供了众多的扩展模块,以支持更多的功能。addrtype就是这样的一个扩展模块,提供的是Address type match的功能。引用的方式就是 -m 模块名。

2、–dst-type

属于addrtype地址匹配扩展模块的一个功能参数,以docker的-m addrtype --dst-type LOCAL为例子:

-m addrtype --dst-type LOCAL其作用就是:把目标地址类型属于主机系统的本地网络地址的数据包,在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链。

-m addrtype模块作用以及其它用法

作用:

该模块支持按源地址或目标地址类型去做匹配,支持的地址类型有很多种,比如LOCAL表示是本地网络地址,BROADCAST表示匹配广播地址,以及其它各种特殊用途的地址类型。

其它参数:

# iptables -m addrtype --help
iptables v1.4.21
 
Usage: iptables -[ACD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options]
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)
 
Address type match options:
 [!] --src-type type[,...]      Match source address type
 [!] --dst-type type[,...]      Match destination address type
     --limit-iface-in           Match only on the packet's incoming device
     --limit-iface-out          Match only on the packet's outgoing device
 
Valid types:           
                                UNSPEC
                                UNICAST
                                LOCAL
                                BROADCAST
                                ANYCAST
                                MULTICAST
                                BLACKHOLE
                                UNREACHABLE
                                PROHIBIT
                                THROW
                                NAT
                                XRESOLVE
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport(Docker容器九类常见故障)
weixin_54626591的博客
08-28 1万+
这两篇文章写的还是比较透彻的,主要就是防火墙映射转发之类的,需要了解下防火墙相关的只是,因此暂时不做深入了解,等有时间了再好好研究防火墙。##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止)网上有的说是只重启docker即可,即只执行systemctl restart docker,我自己也是这样解决掉问题的。网上其他的解决方法:基本都是重置docker0网络,重启docker。##重启docker服务。#重启iptables
Kube-proxy 使用 iptables 模式时,通过 Service 服务发布入口如何到达 Pod ?
山河已无恙
04-09 711
被问到这个问题,整理相关的笔记当 kube-proxy 模式设置为 iptables 的时候,通过 SVC 服务发布入口如何到达 Pod?博文内容涉及:问题简单介绍三种常用的服务发布方式到Pod报文路径解析当前集群为版本为v1.25.1Demo 演示使用了ansible理解不足小伙伴帮忙指正食用需要了解iptables生命的火花不是目标,而是对生活的热情。——《心灵奇旅》
解读-m addrtype --dst-type LOCAL -j DOCKER
bob的博客
02-09 3567
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则: -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER 从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不是我们要讨论的。 我们主要是分析一下“-m addrtype --dst-type”的数据包匹配规则该做怎
iptables 使用说明
最新发布
heyongshen的博客
02-10 752
介绍iptables的基础使用
使用netfilter/iptables时经常能在匹配规则中看到-m addrtype --dst-type这样的内容,何解
watermelonbig的专栏
05-15 9869
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则:-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不...
linux centos7 iptables模块addrtype
梦想是很难很难的,所以先勇敢一点
09-01 764
我们在使用docker容器,,一定会在iptables的NAT表中看到下在这样的一条配置规则: # 把目标地址类型属于主机系统的本地网络地址的数据包, # 在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链 -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER iptables提供了众多的扩展模块,以支持更多的功能。addrtype就是这样的一个扩展模块,提供的是Address type match的功能。引用的
【网络教程】Iptables官方教程-学习笔记5--IPTABLES MATCH
jackhh1的博客
11-20 2486
这篇博客介绍iptables和netfilter中所有可用的匹配,章节比较厂,没必要去学习每个匹配的具体细节,大致了解下即可,后续要用到再深入掌握它。
failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: Failed to inject DOCKER in PREROUTING chain: iptables failed: iptables --wait -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER: iptables: No chain/target/match by that name.
06-08
具体来说,这个错误可能是由于iptables配置错误或者iptables未正确安装导致的。你可以尝试重新安装iptables或者检查iptables配置文件以解决这个问题。另外,你也可以尝试在Docker启动时指定--iptables选项,以使用...
死磕k8s之calico-环境准备
shen的博客
11-11 1万+
序言: 本篇文章主要是列出了calico系列文章解析的环境以及准备工作。 环境 k8s: v1.19.3 iptables: v1.4.21 route: 2.10-alpha calico: v3.16.4 tcpdump calico使用的是ipip模式,calico默认是ipip模式 k8s没有高可用安装,1个master节点,2个work节点 k8s没有使用ipvs 工具安装 calicoctl安装 calicoctl是calico社区提供一个全局查看calico网络的工具,类似kube
k8s实践4:kube-proxy问题iptables转发规则不显示
weixin_34378767的博客
03-12 1594
1.今天想看看kube-proxy的iptables转发规则,执行命令iptables-save,见下: [root@k8s-master1 test]# iptables-save |grep "^-A KUBE" -A KUBE-FIREWALL -m comment --comment "kubernetes firewall for dropping marked packets" -m ...
kube-proxy源码阅读(iptables实现)
八月对半
03-03 1783
Reference 文章目录1 入口2 ProxyServer创建及调用3 ProxyServer 核心调用流程3.1 func (o *Options) Run() err3.2 func (o *Options) runLoop() error3.3 func (s *ProxyServer) Run() error3.4 func (proxier *Proxier) SyncLoop()4 资源事件处理流程4.1 Service事件4.2 Endpoints事件4.3 Nodes事件4.4 func
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport、--dport、-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1605
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
iptables里的三个表分别为_[笔记]iptables 学习记录
weixin_39614262的博客
11-25 248
iptables 是基于内核态的 netfilter 框架,用来过滤 ip 数据包和网络地址转换 NAT 的一个工具,一般用作防火墙功能,或负载均衡功能。简单点说:iptables 是用户态的命令行工具,可以操作内核态的 iptables 的几个模块(基于更底层的 netfilter 模块),然后达到过滤或网络地址转换数据包。K8S 里的 kube-proxy 模块会调用 iptables go ...
理解 Docker 网络(一) -- Docker 对 宿主机网络环境的影响
若即的专栏
03-17 6499
简介 通过 Docker 容器可以实现文件系统, 网络和内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点。 在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。 在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的...
看过最详细的Kube-proxy的iptables模式原理详解
热门推荐
zhangxiangui40542的专栏
03-08 2万+
Kubernetes如何利用iptables 原文地址 Linux内置的防火墙可以对IP数据包做一系列如过滤、更改、转发这样的操作,防火墙在对数据包做过滤决定时,有一套遵循的规则,这些规则存储在专用的数据包过滤表(table)中,而这些表集成在Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。 我们通常说的iptables就是指Linux内置的防火墙,它实际上...
iptables match 扩展
chengfangang的专栏
12-09 4015
转载地址:http://blog.chinaunix.net/uid-23069658-id-3230608.html 自己开发一个match模块        今天我们来写一个很简单的match来和大家分享如何为iptables开发扩展功能模块。这个模块是根据IP报文中有效载荷字段的长度来对其进行匹配,支持固定包大小,也支持一个区间范围的的数据包,在用户空间的用法是:          i
iptables-save 输出格式详解
weixin_33752045的博客
01-15 1463
前言格式详解总结 前言 我们都知道:iptables是linux系统下用来配置netfilter子系统的一个client tool。 配套的常用命令有:iptables -- 对表、链、规则进行配置iptables-save -- dump 已配置的规则,可以用 > 重定向到一个文件中iptables-restore -- 从之前导出的iptable规则配置文件加载规则。 今...
iptables-m multiport
10-31
iptables(Linux 系统中的包过滤防火墙工具)中,`-m multiport`是一个匹配模块(match module),它用于指定一个规则应该应用于那些目标端口范围内的数据包。当你想要限制对一组特定端口的访问或允许来自某些端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值