centos7防火墙白名单总结
需求:
某台服务器的es的8300,8200端口需要指定白名单访问,需要在不影响服务器上其他服务的前提下(因为是历史项目),完善防火墙配置。
首先梳理发现,这两个端口是docker映射出来的端口,开启防火墙。发现防火墙无法限制端口。
先解决:
centos中docker开放的端口 无法受防火墙 控制:
在 CentOS 中,Docker 容器开放的端口默认不受 firewalld 防火墙控制,因为 Docker 使用了自己的网络命名空间和 iptables 规则来管理容器的网络。这可能会导致在 firewalld 中设置的规则对 Docker 容器不生效。为了使 firewalld 能够控制 Docker 容器的端口,可以采取以下步骤:
1. **修改 Docker 配置**:编辑 `/etc/docker/daemon.json` 文件,添加或修改 `"iptables": false` 配置,这样 Docker 就不会自动设置 iptables 规则。例如:
{
"iptables": false
}
修改后需要重启 Docker 服务。
systemctl restart docker
注意:重启docker时候,最好先备份docker ps 的结果。
centos中指定端口访问地址
方法1:
随后配置public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone<rule family="ipv4"><source address="xx.21.0.16"/><source address="xx.21.0.99"/><port protocol="tcp" port="8200"/><port protocol="tcp" port="8300"/><accept/></rule><port protocol="tcp" port="80-8199"/><port protocol="tcp" port="8201-8299"/><port protocol="tcp" port="8301-30000"/>
</zone>重启防火墙
systemctl restart firewalld
方法2:
也可以 public.xml配置
<?xml version="1.0" encoding="utf-8"?>
<zone<port protocol="tcp" port="80-8199"/><port protocol="tcp" port="8201-8299"/><port protocol="tcp" port="8301-30000"/>
</zone>newszone.xml配置
<?xml version="1.0" encoding="utf-8"?>
<zone<source address="xx.21.0.16"/><source address="xx.21.0.99"/><port protocol="tcp" port="8200"/><port protocol="tcp" port="8300"/>
</zone>注意,有的版本不支持这种合在一起的写法。
那就老老实实用命令行,一行一个规则:
sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='182.12.14.3' port protocol='tcp' port='2181' accept"
sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='145.2.4.5' port protocol='tcp' port='2181' accept"sudo firewall-cmd --reload
这样生成的配置是:
<rule family="ipv4"><source address="182.12.14.3"/><port protocol="tcp" port="2181"/><accept/>
</rule><rule family="ipv4"><source address="145.2.4.5"/><port protocol="tcp" port="2181"/><accept/>
</rule>