centos/openEuler系统_漏洞扫描_防火墙开着依然扫到了3306端口_Dataease中禁止docker自动添加iptables规则如何正常访问---Linux工作笔记065

    今天大数据集群中的一台机器(172.19.126.112)又被扫描出漏洞了,因为这个机器上安装了Dataease,而这Dataease用的是内置的mysql服务器,自己集成的.

    怎么回事呢?首先我找了一个,防火墙没有放开的机器,试了试比如:172.19.126.111

去telnet 172.19.126.112 3306  竟然成功了,连接上了... 说明防火墙虽然没有放开3306端口,但是

3306端口依然可以访问.

     原因是Dataease软件用docker安装的,而docker安装的时候会使用iptables,把自己的端口,放到

iptables的规则中放开.而我们重启防火墙的时候,本来centos会每次启动防火墙,都会清空iptables的规则,但是,对于docker来说,清空失败了.

这个时候怎么办?

首先执行systemctl status firewalld去看看;

可以看到这里显示:

WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-154f036880f4 -o br-154f036880f4 -j DROP' failed: iptables: Bad rule (d