Iptables

摘要：放心网络根本平安？iptables八卦阵为您守护!本文带您一起理解iptables的相干常识。 网络世界就和事实世界一样，总是会有些不怀好意的“人”呈现，扫扫你的端口啊，探测探测你的利用状况啊，看看有没有什么破绽啊，而后趁虚而入...... 像不像个小偷，这瞅瞅那瞅瞅，门有没有上锁，窗户有没有关严，看准机会就轻轻潜入了。 所以为了保障网络环境的平安，咱们得“武装”起来，守住各个入口。 怎么“武装”呢？ 应用iptables就能够做到，您能够依据业务须要设计一套本人的“八卦阵”，每一个报文要进来或者进来都得通过“八卦阵”里的阻碍，能通过严格筛选的报文才是“好”报文。 iptables是什么？iptables是Linux 防火墙工作在用户空间的管理工具，是netfilter/iptablesIP 信息包过滤零碎的一部分，用来设置、保护和查看Linux内核的IP数据包过滤规定。它是收费的，能够代替低廉的商业防火墙解决方案，实现封包过滤、封包重定向和网络地址转换（NAT）等性能。 特点：iptables是基于内核的防火墙，性能十分弱小；iptables内置了filter，nat，mangle和raw四张表。所有规定配置后，立刻失效，不须要重启服务。 iptables组成iptables的构造是由表（tables）组成，而tables是由链（chains）组成，链又是由具体的规定组成。因而咱们在编写iptables规定时，要先指定表，再指定链。tables的作用是辨别不同性能的规定，并且存储这些规定。 iptables的四表五链四个表包含：raw表、mangle表、nat表、filter表。 这四个优先级顺次升高，raw不罕用，次要性能都在其余三种表里实现。每个表能够设置多个链。 mangle：次要用于批改数据包，表内包含五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARDnat：不经内核，用于网络地址转换（IP、端口），表内包含三个链：PREROUTING、POSTROUTING、OUTPUTfilter：通过本机内核的数据，负责过滤数据包，表内包含三个链：INPUT、FORWARD、OUTPUT五个链如下： INPUT：输出，过滤所有指标地址是本机的数据包。FORWARD：转发，过滤所有路过本机的数据包。OUTPUT：输入，过滤所有由本机产生的数据包。PREROUTING：路由前，能够在数据包达到防火墙时扭转指标地址。POSTROUTING：路由后，在数据包来到防火墙时扭转数据包的源地址。iptables解决数据包的流程 数据包有两种：目标地址是本机内核的数据包和通过本机内核的数据包。 数据包进入的时候，首先进入PREROUTING链，本机内核依据数据包目标地址判断是否须要转送进来。如果数据包是进入本机内核的，就进入INPUT链。数据包到了INPUT链后，按条件过滤限度进入。之后进入本机内核，再进入OUTPUT链，按条件过滤限度进来，而后达到POSTROUTING 链输入。如果数据包只是通过本机内核，须要转发进来的，且本机内核容许转发，数据包就会进入FORWARD链，按条件过滤限度转发，而后达到POSTROUTING链输入。iptables命令iptables [ -t 表名 ] 治理选项 [ 链名 ] [ 条件匹配 ] [ -j 指标动作或跳转 ] 留神： 1.不指定表名时，默认示意filter表。 2.不指定链名时，默认示意该表内所有链，除非设置规定链的缺省策略，否则须要指定匹配条件 举个例子，比方：须要回绝IP地址为10.10.10.8的主机拜访本机。 iptables -A INPUT -s 10.10.10.8 -j DROP 更多命令详情请参见：iptables语法规定。 课堂练习iptables规定都能够在云服务器里本人配置。然而如果云服务器数目十分多，每个都要配置，那就太麻烦了，如何实现同样需要的云服务器配置雷同的iptables规定？ 平安组？网络ACL？ 没错！！！ 它们都通过管制Linux iptables来管制进出云服务器或者用户网络的数据包，在不同的地位应用不同的办法来实现不同的目标，能够同时部署网络ACL和平安组实现双重防护。 平安组将具备雷同平安爱护需要并相互信任的云服务器退出同一个平安组。不同平安组的虚拟机之间的拜访以及外网拜访虚拟机，都须要通过平安组进行过滤。 网络ACL则作用于子网上，能够在平安组之前隔离内部过去的歹意流量，对进出用户网络的流量进行过滤。 那么，实际一下，为您的弹性云服务器设置一套“八卦阵”吧~ 为云服务器配置平安组与网络ACL，请戳这里理解。 本文分享自华为云社区《云小课 |放心网络根本平安？iptables八卦阵为您守护》，原文作者：云小萌。点击关注，第一工夫理解华为云陈腐技术~

面试中被问了这道题，其实是在考查你对 k8s service 的应用和底层原理的了解，答案显然没有那么简略。 ClusterIP/NodePort/Loadbalancer这三种 svc 都会调配 ClusterIP，这个 IP 地址是 VIP（虚构 IP），是在所有 node 上增加一些 netfilter 规定，次要有 iptables 和 ipvs 两种计划，能不能 ping 通要看具体实现。 iptables：clusterIP 只是 iptables 中的规定，只会解决 ip:port 四层数据包，reject 了 icmp。不能 ping 通。IPVS：clusterIP 会绑定到虚构网卡 kube-ipvs0，配置了 route 路由到回环网卡，icmp 包是 lo 网卡回复的。能够 ping 通。Headless: ClusterIP=NoneHeadless svc 不会调配 clusterIP，而是返回对应 DNS 的 A 记录，如果 svc 后端有3个 pod 则返回 3 个 pod IP。拜访 svc 时会随机抉择一个 IP，所以 headless svc 是能够 ping 通的。 ExternalNameExternalName 对应 DNS 的 CNAME，如果配置的域名能够 ping 通则 svc 能够 ping 通。 ...

How to use (firewald) 与 iptables对照版Use (systemctl) to manager (firewalld)To start,stop,restart (firewalld): systemctl start firewalldsystemctl stop firewalldsystemctl restart firewalldTo check (firewalld) state: systemctl status firewalldyou can also: firewall-cmd --stateTo make (firewalld) auto start, or not auto start on boot, systemctl enable firewalldsystemctl disable firewalldDisableing all traffic in case of emergency / 紧急禁止所有流量To disable all traffic immediately firewall-cmd --panic-onIt's corresponding (iptables) command is: iptables -t filter -I INPUT 1 -j REJECTiptables -t filter -I OUTPUT 1 -J REJECTTo cancel disabling all traffic: ...