iptables封端口

iptables封端口最佳实践
最新推荐文章于 2025-12-08 15:26:25 发布
原创 最新推荐文章于 2025-12-08 15:26:25 发布 · 491 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

目录标题

当前状况

  1. 服务配置

    • Docker 容器监听:172.17.0.2:5000
    • NAT 映射:宿主机:30081 → 172.17.0.2:5000

  2. 数据包流向

    外部客户端 → 宿主机:30081
    ↓
PREROUTING (NAT表) - DNAT: 改写目标 → 172.17.0.2:5000
    ↓
路由决策: 发现目标为容器IP,走 FORWARD 链
    ↓
FORWARD 链: 包已是5000端口,无法匹配30081规则
    ↓
Docker 容器 172.17.0.2:5000

  3. 当前 DROP 规则无效的原因

    • INPUT 链规则失效:只作用于访问宿主机本身的流量,DNAT 后的流量不走 INPUT。
    • FORWARD 链 DROP 30081 规则失效:此时端口已被 DNAT 改为 5000,匹配不到 30081。
    • FORWARD 链 DROP 5000 规则无效:规则在 DOCKER 链后面,而 DOCKER 链已 ACCEPT 了流量。

解决方案对比

方案1:在 NAT 表做限制(❌ 不推荐)

iptables -t nat -I PREROUTING ! -s <允许IP> -p tcp --dport 30081 -j DROP
  • 缺点:NAT 表本意是做地址转换,不应该直接 DROP,违反规范。

方案2:在 raw 表做限制(✅ 推荐)

# 允许指定来源访问
iptables -t raw -I PREROUTING -s <允许IP> -p tcp --dport 30081 -j ACCEPT
# 拒绝其他来源
iptables -t raw -A PREROUTING -p tcp --dport 30081 -j DROP

  • 优点:

    1. DNAT 之前 拦截,规则简单明了
    2. 处理阶段最早,性能最佳
    3. 符合 iptables 最佳实践

方案3:调整 FORWARD 链顺序

# 删除原有无效规则
iptables -D FORWARD 1
# 在 DOCKER 链之前拦截
iptables -I FORWARD 1 ! -s <允许IP> -d 172.17.0.2 -p tcp --dport 5000 -j DROP
  • 优点:可行
  • 缺点:需提前知道容器 IP,规则依赖具体容器

方案4:使用 conntrack 标记(最灵活)

# mangle表:标记不允许的连接
iptables -t mangle -A PREROUTING ! -s <允许IP> -p tcp --dport 30081 -j MARK --set-mark 0x99
# filter表:丢弃带标记的连接
iptables -I FORWARD 1 -m mark --mark 0x99 -j DROP

  • 优点:

    1. 不受 DNAT 影响
    2. 灵活,可扩展复杂策略

  • 缺点:实现复杂度高

建议

  • 首选方案 2(raw 表拦截)

    • 逻辑清晰,在 DNAT 前截断,不依赖容器 IP。
    • 规则简洁,性能最好,维护成本最低。

要不要我帮你画一个 iptables 数据包流向 + 拦截点示意图(Mermaid 流程图),这样更直观地对比这几种方案?

iptables封禁端口
solocao的专栏
08-13 6002
iptables封禁固定端口
Linux服务器怎么封ip,Linux下iptables封端口及ip以及封ip段的方法
weixin_39804059的博客
04-29 1396
Linux下iptables封tcp及udp端口及ip以及封ip段的方法,该文章转载,写得很好,希望对大家有帮助封IPservice iptables status可以查看到iptables服务的当前状态/etc/init.d/iptables stop/etc/init.d/iptables start单个IP的命令是iptables -I INPUT -s 211.1.0.0 -j DROP封...
iptables封禁 指定问题端口 解决漏洞问题示例
wanzhong11的博客
02-10 451
service iptables save(最好用这个,修改后保存下,服务器重新启动不会消失)或者iptables-save > /home/temp01/zwz-iptables.txt。配置封禁端口,并允许指定服务器地址或指定网段可访问 ,则执行如下命令。否则iptables -P INPUT ACCEPT。iptables -L(看到ACCEPT)如需删除INPUT第一行,则执行如下命令。后再iptables -F。则iptables -F。安装iptables
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 7112
iptables屏蔽ip某个端口访问。
【Linux】简单使用 iptables 限制端口访问
Jweilai
11-25 9930
使用 iptables -L 查看当前环境的 iptables 规则 插入禁止访问的规则 对特定 IP 解除限制 最后再来查看规则添加情况 iptables 的规则是从上往下依次执行的, 如上面的例子,先ACCEPT(接受)192.168.157.12对8443端口的访问; 再拒绝所有的其它 IP 对8443端口的访问 ...
Linux下iptables 禁止端口和开放端口
zqzq19950725的博客
08-31 1594
iptables 禁止端口和开放端口 1.首先介绍一下指令和相关配置文件 启动指令:serviceiptablesstart 重启指令:serviceiptablesrestart 关闭指令:serviceiptablesstop 然后是相关配置:/etc/sysconfig/iptables 如何操作该配置呢? vim/etc/sysconfig/iptables 然后进去修改即可,修改完了怎么办?这里很多人会想到/etc/r...
ubuntu中使用iptables限制端口
阿拉丁的知识分享库
08-23 973
【代码】ubuntu中使用iptables限制端口
iptables规则链封端口
m0_37642477的博客
04-18 955
禁止所有IP访问k8s的10250端口允许192.14.10.0/24网段访问10250端口查看INPUT策略删除INPUT策略。
iptables禁止访问1端口和80端口
weixin_35751194的博客
01-17 2279
iptables -A INPUT -p tcp --dport 1 -j DROP iptables -A INPUT -p tcp --dport 80 -j DROP 这是在 Linux 系统上使用 iptables 禁止访问 1 端口和 80 端口的命令。其中 -A INPUT 表示添加规则到 INPUT 链,-p tcp 表示使用 TCP 协议,--dport 表示目标端口,-j DRO...
掌握本地封端口技巧与封端口工具应用
在IT领域,“封端口”通常指的是阻止某些特定端口的网络通信,以增强网络安全、防止未授权访问或者禁用某些服务。端口在计算机网络中起着至关重要的作用,它是网络通信的连接点,允许数据流入和流出服务器或客户端。...
精选资源
详解Android 利用Iptables实现网络黑白名单(防火墙)
01-05
为了使读此简笔的人对Iptables有一个简单的了解,此处强行百度了一波概念,如果想深入的了解Iptables的各种配置规则和内核对其的管理运行机制请自行www.baidu.com,这些并不是本简笔的目的所在。 闲言少叙,开始正文...
iptables-ipset仅允许国内访问---端口白名单
endzhi的博客
03-23 2262
为实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。
Centos7利用iptables,限制访问ip及端口提升服务器的安全性
chiluguan2548的博客
01-04 3053
背景:昨天是2017年第一天上班,作者依然开开心心的带着2017年新的目标来到了公司,一如既往的打开电脑,打开“程序猿”们都熟悉的idea准备开始工作,呵呵!有点啰嗦。当我打开常用的数据库mongo客户端时发现,咦?怎么多了个奇怪的数据库,于是打开查看了一下顿时傻眼! 哎吆!我去!17年收到...
NineData社区版V4.7.0发布!新增MySQL至TiDB等6条数据复制对比链路,SQL窗口新增谷歌云6种数据源类型
云原生智能数据管理平台
12-05 1006
NineData社区版V4.7.0正式发布,新增6条数据复制链路(包括MySQL至OceanBase/TiDB等5条跨源链路和1条同构链路),均支持全流程数据同步与对比功能。同时新增6种谷歌云数据源支持,优化了MongoDB内网复制和MySQL XA事务性能。该版本现已支持27种数据库迁移链路,提供包括SQL审核、结构设计等企业级DevOps能力。作为免费开源工具,NineData社区版支持Docker快速部署,具备高性能CDC同步技术,适用于数据库迁移、容灾、ETL等场景,5-10分钟即可完成安装体验。
AlmaLinux9配置本地镜像仓库
weixin_50877409的博客
12-04 206
本文介绍了在AlmaLinux 9.7系统中配置本地yum仓库的步骤:1)创建挂载目录并挂载ISO镜像;2)备份原有repo文件并创建local.repo配置文件;3)设置本地仓库路径为/media/cdrom/AppStream;4)清除并重建yum缓存;5)最后通过成功安装telnet包验证了本地仓库配置的正确性。整个过程实现了不依赖网络使用本地ISO镜像作为软件源的目的。
Linux进程管理、服务管理、磁盘分区管理、ntp与chrony服务配置
m0_73599398的博客
12-03 926
本文摘要:文章系统介绍了Linux系统管理中的三个核心内容。在进程管理部分,详细讲解了进程概念、PID标识、状态分类(R/S/D/Z/T)、kill命令和nohup后台运行机制。服务管理章节阐述了systemctl的基本操作和自定义服务创建方法。磁盘分区管理部分涵盖了分区类型、文件系统、挂载操作、分区表类型以及完整的磁盘添加和分区创建流程。通过命令示例和状态说明,全面展示了Linux系统资源管理的核心技术和操作方法。
docker(6-10)
2301_79990780的博客
12-04 795
Docker存储机制摘要 Docker提供两类存储资源: Storage Driver管理的镜像层和容器层:采用分层结构实现Copy-on-Write特性,适合存放无状态应用数据。CentOS默认使用overlay2驱动。
Linux系统启动流程总结
最新发布
qq_52537313的博客
12-08 489
内核加载完后,会将控制权暂时交给 initramfs 里的。作为 init system。Linux 主流都是。
openEuler + Nginx 高性能 Web 服务深度评测
笃行其道的博客
12-03 1064
本文介绍了在openEuler操作系统上部署Nginx集群的性能测试方案。通过优化内核参数、资源限制和系统调优,在32核64GB环境的华为云实例上进行八大维度的压测:静态文件服务测试显示小文件QPS达23万+,大文件传输速率13.97GB/s;反向代理性能测试QPS23万;HTTPS测试降幅仅16%;长连接测试QPS8.6万;压缩测试显示99%压缩率;极限测试支撑10万+并发。测试结果表明,openEuler的网络/I/O优化与Nginx事件驱动架构完美结合,CPU利用率96%且内存占用<10%,延迟
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值