立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 43|回复: 5

请教大佬iptables配置的问题

[复制链接]

请教大佬iptables配置的问题

[复制链接]

9

主题

20

回帖

105

积分

注册会员

积分
105
Shiba

9

主题

20

回帖

105

积分

注册会员

积分
105
2021-12-29 07:53:28 | 显示全部楼层 |阅读模式
本帖最后由 Shiba 于 2021-12-29 08:00 编辑

Debian11系统VPS,使用如下命令想要实现只暴露主机的22 80 443端口,其他的端口都封上
[ol]
  • #
  • iptables -A INPUT -i lo -j ACCEPT
  • #
  • iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  • #
  • iptables -A INPUT -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  • #
  • iptables -A INPUT -j DROP[/ol]复制代码

    运行着一个nginx-proxy-manager的容器,把域名test.com解析到了X.X.X.X主机地址,并在npm中设定了返代到10081端口。docker ps的状态如下
    [ol]
  • 5272ea7c8dc6   jc21/nginx-proxy-manager:latest   "/init"              15 minutes ago   Up 15 minutes             0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp, 0.0.0.0:10081->81/tcp, :::10081->81/tcp   nginx-proxy-manager_app_1[/ol]复制代码

    理想的结果是: 22 80 443端口可以正常访问,直接使用ip地址X.X.X.X:10081会被禁止访问。
    目前的结果是: 22端口ssh连接正常,访问 X.X.X.X:80 443 10081都可以正常打开页面,但是访问域名test.com无法访问. 如果删除DROP那一条,域名就可以正常访问了。
    请教一下大佬,我的设置是哪里有问题么,为什么已经设定drop规则,还能够通过ip地址访问10081端口?

    iptables -L -v -n 的结果INPUT部分如下
    [ol]
  • Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  • num   pkts bytes target     prot opt in     out     source               destination
  • 1       17   967 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  • 2     1539  116K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
  • 3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  • 4        1    40 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
  • 5       97  9160 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  • 6    60023   10M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
  • [/ol]复制代码
  • 回复

    使用道具 举报

    40

    主题

    990

    回帖

    2648

    积分

    金牌会员

    积分
    2648
    loveqianool

    40

    主题

    990

    回帖

    2648

    积分

    金牌会员

    积分
    2648
    2021-12-29 08:13:50 | 显示全部楼层

    Shiba 发表于 2021-12-29 08:11

    请问下大佬,访问IP地址+端口10081,为什么不会被iptables DROP拦截呢?

    https://github.com/chaifeng/ufw- ... D%E6%83%B3%E8%AF%BB
    回复

    使用道具 举报

    40

    主题

    990

    回帖

    2648

    积分

    金牌会员

    积分
    2648
    loveqianool

    40

    主题

    990

    回帖

    2648

    积分

    金牌会员

    积分
    2648
    2021-12-29 08:11:00 | 显示全部楼层
    把 docker 的 10081 删掉,然后把 80 到 81 就好了。
    回复

    使用道具 举报

    9

    主题

    20

    回帖

    105

    积分

    注册会员

    积分
    105
    Shiba 楼主

    9

    主题

    20

    回帖

    105

    积分

    注册会员

    积分
    105
    2021-12-29 08:02:46 | 显示全部楼层

    loveqianool 发表于 2021-12-29 08:02

    把 docker 的 10081 删掉,然后把 80 到 81 就好了。

    请问下大佬,访问IP地址+端口10081,为什么不会被iptables DROP拦截呢?
    回复

    使用道具 举报

    36

    主题

    1154

    回帖

    3262

    积分

    论坛元老

    积分
    3262
    yailone1

    36

    主题

    1154

    回帖

    3262

    积分

    论坛元老

    积分
    3262
    2021-12-29 08:11:26 | 显示全部楼层
    容器
      -p 80:10081 \
    回复

    使用道具 举报

    9

    主题

    20

    回帖

    105

    积分

    注册会员

    积分
    105
    Shiba 楼主

    9

    主题

    20

    回帖

    105

    积分

    注册会员

    积分
    105
    2021-12-29 08:02:00 | 显示全部楼层

    loveqianool 发表于 2021-12-29 08:13

    https://github.com/chaifeng/ufw-docker#%E5%A4%AA%E9%95%BF%E4%B8%8D%E6%83%B3%E8%AF%BB

    感谢大佬!!
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|小黑屋|HS2V主机综合交流论坛

    GMT+8, 2024-12-23 08:36 , Processed in 0.018352 second(s), 3 queries , Gzip On, Redis On.

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.

    快速回复 返回顶部 返回列表