iptables规则链封端口

K8S模式下开放端口

禁止所有IP访问k8s的10250端口

iptables -t filter  -I INPUT -i eth0 -p tcp  -s 0.0.0.0/0 --dport 10250 -j DROP

允许192.14.10.0/24网段访问10250端口

iptables -t filter  -I INPUT -i eth0 -p tcp  -s 192.14.10.0/24 --dport 10250 -j ACCEPT

查看INPUT策略

iptables --line -nvL  INPUT 

Chain INPUT (policy ACCEPT 33454 packets, 8373K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      758  112K ACCEPT     tcp  --  eth0   *       192.14.10.0/24       0.0.0.0/0            tcp dpt:10250
2        7  6532 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10250
3     333M   85G CILIUM_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cilium-feeder: CILIUM_INPUT */
4     535M  130G KUBE-FIREWALL  all  --  *      *       0.0.0.0/0            0.0.0.0/0

删除INPUT策略

#删除INPUT链第一条（num）规则
iptables -D INPUT 1

DOCKER模式下开放端口

限制docker指定端口访问策略

禁止所有IP访问docker的389端口

iptables -I DOCKER-USER -i eth0 -p tcp --dport 389 -j DROP

允许172.27.30.92地址访问docker的389端口

iptables -I DOCKER-USER -i eth0  -s 172.27.30.92 -p tcp --dport 389 -j ACCEPT

查询DOCKER-USER策略

[root@test ~]# iptables --line -nvL  DOCKER-USER 
Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        8   432 ACCEPT     tcp  --  eth0   *       172.27.30.92         0.0.0.0/0            tcp dpt:389
2       13   740 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:389
3      188 12524 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0 

删除DOCKER-USER策略

iptables -D DOCKER-USER 1

保存DOCKER-USER策略，默认临时生效

[root@test ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  确定  ]

限制IP访问

首先需添加一条禁止所有IP访问docker策略

iptables -I DOCKER-USER -i eth0  -s 0.0.0.0/0 -j DROP

注：允许上方命令后，如果出现容器无法上网问题，请将下方策略添加到上方策略前。

iptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

在依次添加所有允许访问docker的IP，允许172.27.100.101地址访问docker

iptables -I DOCKER-USER -i eth0  -s 172.27.100.101 -j ACCEPT