Docker快速验证保存iptables的转发策略

最新推荐文章于 2020-12-11 10:34:44 发布
最新推荐文章于 2020-12-11 10:34:44 发布
阅读量300 收藏
点赞数
文章标签: 运维 数据库 java
原文链接:https://my.oschina.net/hexie/blog/1591848
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

Docker快速验证保存iptables的转发策略

[TOC]

故事和事故

这里的故事都是来源于事故。当然处理好了是传说中的故事,处理不好就是惨痛的事故。

前言

接上回(Docker快速验证tomcat单机多实例方案),解决非root账号不能绑定80端口,采用的是iptables转发的解决办法.这只能是个临时方案:

root@SuSE11:/etc/sysconfig$ iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081

这个方法有以下局限:

  1. 重启服务器失效;
  2. 重启防火墙失效: [root@tomcat7conf]# rcSuEfirewall2 restart
  3. 每次都的申请root权限手工执行转发命令

背后的故事

当时投产时间紧任务重,直接就投了。终于在第三次投产前,生产迁移扩容,重启后,趴了。因为部署在异地,电话支持后异地没了下文。晚一点儿客户直接电话过来,要求彻底解决。

后来才知道这个命令失效了(为什么失效这里有故事,当然对运维来说就是事故:推测异地也是发现了这个结果,没辙了就给本地客户反馈,压力就到项目组来了)。

第二天,客户建议在开发环境验证:先把防火墙关了看看行不行得通。虽然知道关了也不可能突然80就能被非root用户绑定了,但是还是安排工程师做了。一验证,出事了。防火墙关了之后,再也起不起来了(重启后,转发命令失效了)。咦~,有好戏了。

反复查证之后,推测是客户运营部门在这个时间段内,出于某种考虑,逐个排查,“彻底”关闭了所有服务器的防火墙:因为是规定。我们开发环境一直没重启,所以,转发规则一直生效。现在被循循善诱主动关闭防火墙验证时,新的策略生效,防火墙趴了,转发命令当仁不让失效了。

查证和推测过程以及解决方案如下,请各位参考。为什么推测,因为有些事情拿不到台面上,知道就好了,不必好为人师。尤其面对客户语焉不详时,给出解决方案就是了。大家心知肚明:乙方么,就是解决问题的。不管这个问题源头在哪儿,反正你的项目你碰上了,自己解决就是。

理论指导实践

SuSE 11 Linux中,使用/etc/sysconfig/SuSEfirewall2脚本来“简化”iptables策略的构建。系统启动时,通过加载此脚本,来生成iptables策略。

还原和推测现场

工程师的验证

大致也就这几个命令,最终结果就是,关闭了,验证80端口仍旧不能访问。再启动,运行了iptables转发命令,居然失效了。

# 关闭防火墙
root@SuSE11:/etc/sysconfig$ rcSuSEfirewall2 stop
# 启动防火墙
root@SuSE11:/etc/sysconfig$ rcSuEfirewall2 start
# 重启防火墙
root@SuSE11:/etc/sysconfig$ rcSuSEfirewall2 restart

“彻底”关闭防火墙

推测是这么“彻底”关闭的。后来经过后续验证,证明推测是正确的。

root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_init off
root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_setup off

被彻底关闭后,防火墙状态如下

root@SuSE11:/etc/sysconfig$ chkconfig --list | grep firewall
SuSEfirewall2_init 0:off 1:off 2:off 3:off 4:off 5:off 6:off
SuSEfirewall2_setup 0:off 1:off 2:off 3:off 4:off 5:off 6:off

在这种情况下,传统办法重启前置防火墙是无效的,自然iptables的转发命令运行了也是无效的,感兴趣的童鞋,自行尝试。

root@SuSE11:/etc/sysconfig$ rcSuSEfirewall2 restart
root@SuSE11:/etc/sysconfig$ iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081

查看“前置”防火墙状态

╮(╯_╰)╭,貌似没啥用,仅记录下。

root@SuSE11:/etc/sysconfig$ cd /etc/sysconfig
root@SuSE11:/etc/sysconfig$ SuSEfirewall2 status | grep 80

查看“底层”防火墙状态

正常状态如下,

root@SuSE11:/etc/sysconfig$ chkconfig --list | grep firewall
SuSEfirewall2_init 0:off 1:off 2:off 3:on 4:off 5:on 6:off
SuSEfirewall2_setup 0:off 1:off 2:off 3:on 4:off 5:on 6:off

启动防火墙

如果防火墙被关闭,或者状态异常,使用如下命令启动

root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_init on
root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_setup on

验证和准备

检查firewall的状态

正常状态如下,

root@SuSE11:/etc/sysconfig$ chkconfig --list | grep firewall
SuSEfirewall2_init 0:off 1:off 2:off 3:on 4:off 5:on 6:off
SuSEfirewall2_setup 0:off 1:off 2:off 3:on 4:off 5:on 6:off

如果不正常,则:

启动防火墙

root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_init on
root@SuSE11:/etc/sysconfig$ chkconfig SuSEfirewall2_setup on

验证iptables的转发

root@SuSE11:/etc/sysconfig$ iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081

查看iptables的转发是否生效

iptables-save 这个命令也好用的很,用于检查已有策略(无论是临时的还是永久的)

当有如下结果

root@SuSE11:/etc/sysconfig$ iptables-save -t nat | grep 80
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081

重启防火墙

iptables应失效

root@SuSE11:/etc/sysconfig$ rcSuSEfirewall2 restart
root@SuSE11:/etc/sysconfig$ iptables-save -t nat | grep 80

保存iptables策略

有多种办法,其中之一就是:用户添加自定义规则。还有一种办法就是导出iptables里的策略到一个文件,系统启动时,加载这个策略(见参考链接)。此处使用的是前者。

修订自定义函数

root@SuSE11:/etc/sysconfig$ cd /etc/sysconfig/scripts/
root@SuSE11:/etc/sysconfig$ cp SuSEfirewall2-custom SuSEfirewall2-custom20171111bak
root@SuSE11:/etc/sysconfig$ vi SuSEfirewall2-custom
# 找到fw_custom_after_antispoofing函数,在函数内“true”上面一行加入
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081
# 保存,退出
root@SuSE11:/etc/sysconfig$ more SuSEfirewall2-custom | grep 8081
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081

加载自定义函数

root@SuSE11:/etc/sysconfig$ cd /etc/sysconfig
root@SuSE11:/etc/sysconfig$ vi SuSEfirewall2
# 找到FW_CUSTOMRULES="",修订为
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
# 保存,退出
# 验证防火墙脚本是否加载自定义函数
root@SuSE11:/etc/sysconfig$ more SuSEfirewall2 | grep FW_CUS
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"

验证

root@SuSE11:/etc/sysconfig$ rcSuSEfirewall2 restart
root@SuSE11:/etc/sysconfig$ iptables-save -t nat | grep 80
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081
root@SuSE11:/etc/sysconfig$ crul localhost:8081

感谢和参考

感谢以下网友的分享:SuSE的网上资料能用的不多,像这样的认真的笔记已经不多了。

参考

SuSE IPTABLES用法

iptables的备份、恢复及防火墙脚本的基本使用

在suse上折腾iptables

后续

2017.12.18 Update:

这个方案也是个过渡方案:甚至都没能投产。

因为客户这边的奇怪规定,一律要彻底关闭防火墙。

具体见下一篇笔记:不通过转发让tomcat绑定80端口。

将草稿整理,并做了适当清洗后,作为笔记,分享出来。欢迎斧正!

转载于:https://my.oschina.net/hexie/blog/1591848

weixin_34234829
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 快速验证保存 iptables转发策略
reboot_xwa的博客
12-29 678
故事和事故 这里的故事都是来源于事故。当然处理好了是传说中的故事,处理不好就是惨痛的事故。 前言 接上回(Docker 快速验证 tomcat 单机多实例方案),解决非 root 账号不能绑定80端口,采用的是iptables转发的解决办法.这只能是个临时方案: root@SuSE11:/etc/sysconfig$ iptables -t nat -A PREROUTING -p tc...
iptable forward转发实现docker -p 功能共局域网内其他主机访问
weixin_43129902的博客
09-04 2802
测试环境需要临摹开发k8s调度环境,搭建本地minikube时,局域网中别的机器无法访问: 1.minikube version: v0.28.1 无法设置type=loadbalancer; 2.type=nodeport只能通过`minikube ip`:${port}实现本机访问。 故需要配置iptable forward 1./proc/sys/net/ipv4/ip_forw...
iptables 端口转发
Disany的博客
10-21 731
应用实例: ① docker 一个应用容器映射出的8900端口,访问:http://192.168.1.245:8900,现想直接通过http://192.168.1.245访问,只需要执行下面命令即可。 iptables -t nat -A PREROUTING -p tcp --dport 8900 -j REDIRECT --to-port 80 # 删除规则使用 ‘-D’ 保存修改 service iptables save # service iptables restart ② 通过访问
iptable网络转发
08-30
2小时玩转iptable
docker 开放管理端口映射 无法访问
u011017284的博客
03-17 2182
查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running”,表示当前FirewallD正在运行,需要再输入下面的命令查看现在开放了哪些端口和服务: firewall-cmd --list-ports firewall-cmd --list-s...
Dockeriptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Dockeriptables规则在iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Docker容器中使用iptables时的最小权限的开启方法
01-10
Docker容器中使用iptables时的最小权限的开启方法 Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样...
docker快速集成wkhtmltopdf
最新发布
02-21
docker集成wkhtmltopdf,安装包就是封装好的镜像文件,直接解压执行就可以; -- 解压镜像包<上面安装包> docker load -- 运行docker docker run -itd -v /data/share:/data/share -m 8G --name="wkhtmltopdf" ...
docker-image-policy:根据策略文件快速验证检查的Docker映像
05-13
根据策略文件快速验证检查的Docker映像 用法 在Docker Hub上使用预构建的容器 使用默认 注意: docker inspect期望将映像存储在本地,如果还不是本地,请运行docker pull {target_image} 将目标映像的Docker检查的...
查看iptables状态_Docker 快速验证保存 iptables转发策略
weixin_39953618的博客
12-11 714
作者:蛮大人原创文章,不接受任何形式的转载故事和事故这里的故事都是来源于事故。当然处理好了是传说中的故事,处理不好就是惨痛的事故。前言接上回(Docker快速验证tomcat单机多实例方案),解决非root账号不能绑定80端口,采用的是iptables转发的解决办法.这只能是个临时方案:root@SuSE11:/etc/sysconfig$ iptables -t nat -A PREROUTIN...
【笔记】openwrt - 软路由中docker转发设置
LawssssCat的博客
01-09 7011
https://blog.csdn.net/qq_40996741/article/details/98473966
利用iptablesDocker绑定一个外网IP
时鹏飞的专栏
07-27 8238
背景由于docker默认是不能够与外部进行直接的通信,比较普遍的仿佛是利用启动时-p来与主机进行端口映射与外界沟通。但是有时候在有其他需求时并不太方便,特别是在进行一些docker打包之前的内部开发时,希望其能够像虚机一样能够与外部有很好的通信,便希望其能够绑定外部的IP地址。 docker默认的网络是桥接在创建好后的网桥docker0上的。docker0默认的典型地址为172.17.42.1,子
docker 容器防火墙设置
热门推荐
coder learner
01-18 5万+
docker 容器防火墙设置启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用–privileged=true来进行开启,如: docker run --privileged=true -d -p 4489:448
iptables为什么需要增加loopback回环的规则
angou6476的博客
11-21 502
先说loopback回环的大致个人理解: 1、lo的主要作用是基于本地访问本地的数据包会经过lo这张网卡。 2、比如ping 127.0.0.1时,你在eth0抓不到,只能在lo这张网卡捕获。 再来看下简单的iptables的几个链的规则: PREROUTING:在做出路由决策之前,数据包将进入此链。 INPUT:数据包将在本地交付。它与打开套接字的进程没有任何关系;本地...
使用iptablesdocker容器动态添加端口映射
风雨断肠草的博客
03-10 1945
1、修改iptables配置 vi /etc/sysconfig/iptables 2、根据下图红色的三处示例添加需要映射的端口,然后重启iptables即可。(例如下图中,添加8888端口映射,8888是容器对外提供服务的端口) 最后提示,不能通过docker ps -a 命令来检查端口映射是否成功的,因为即使成功也显示不出来,可通过以下命令查看端口映射是否成功 ...
docker宿主机iptables配置
weixin_34293059的博客
01-25 7088
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker来配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
dockeriptables的关系
ivy_1103的博客
09-28 2061
前言: iptables是linux的防火墙,一般我们自我搭建环境时会关闭。用service iptables status命令可以查看到iptables的状态。 docker的运行依赖于iptables,利用其中的nat功能。 一)  docker安装完毕,通过ifconfig,可以看到有一个docker0的虚拟网卡,如下:     docker0   Link encap:Et
如果Docker将不会修改iptables规则,如何实现主机8080端口流量转发容器的80端口
05-31
如果你禁用了Dockeriptables规则,而又需要将主机的8080端口流量转发容器的80端口,可以使用Linux内核的端口转发功能。具体来说,你可以使用以下命令来实现端口转发: ``` sudo iptables -t nat -A PREROUTING ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值