在为VPS部署Docker并配置MySQL时,网络安全是关键环节,这时iptables防火墙就派上了用场。虽然CentOS和Ubuntu的防火墙工具各有特色,但它们都基于iptables的核心功能。在启动前,确保先停用可能冲突的服务,如:
iptables是Linux系统的核心防火墙,它通过一组精细的规则来控制网络流量,支持协议、IP地址和端口的访问控制。iptables有四大工作表:filter(处理到达目标端口的包)、mangle(修改包)、nat(转换IP地址进行路由)和raw(基于包状态定制规则)。
理解iptables的包转发规则至关重要:
规则的设定基于数据包的属性,并遵循链首规则优先原则。掌握了这些,我们就能灵活运用iptables来定制网络策略。例如:
请注意,不同Linux发行版可能需要调整模块参数,比如默认策略可设为DROP,如`iptables -t filter -P INPUT DROP`。回环地址通信默认允许,`iptables -A INPUT -i lo -j ACCEPT`。对于频繁的请求响应,可以限制输出网络,如`iptables -A OUTPUT -o wlan0 -d 121.18.238.0/29 -j DROP`。
规则的执行逻辑可以进行逆向操作,如`iptables -A INPUT -p tcp -m multiport ! --dports 22,80,443 -j DROP`,允许除了指定端口外的所有连接。
为了使iptables配置持久,可以将其导出到`/etc/iptables.conf`,然后使用`iptables-save`和`iptables-restore`确保重启后的规则生效。在Ubuntu上,可以考虑安装iptables-persistent扩展,以自动加载配置。
特别关注docker环境下的规则管理,比如在iptables中为docker容器的ssh访问创建自定义链`ssh-rules`。完成后,要记得在INPUT链中添加它,如`iptables -I INPUT -j ssh-rules`,并删除不再需要的链:`iptables -X ssh-rules`。
对于docker容器的网络限制,因为docker内部网络的隔离特性,iptables可能无法直接控制docker暴露的端口。然而,可以在宿主机的FORWARD链(如DOCKER-USER链)添加规则来阻止外网访问docker,如`iptables -I DOCKER-USER -i enp0s3 -j DROP`。
更深入的技术内容和最佳实践,可以参考公众号"西北偏北UP"的分享。掌握iptables,为你的网络安全保驾护航。