全球主机交流论坛

标题: 请教大佬iptables配置的问题 [打印本页]

---

作者: Shiba    时间: 2021-12-29 07:53
标题: 请教大佬iptables配置的问题


Debian11系统VPS,使用如下命令想要实现只暴露主机的22 80 443端口，其他的端口都封上

1. #
   
2. iptables -A INPUT -i lo -j ACCEPT
   
3. #
   
4. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   
5. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   
6. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
   
7. #
   
8. iptables -A INPUT -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
   
9. #
   
10. iptables -A INPUT -j DROP

复制代码

运行着一个nginx-proxy-manager的容器，把域名test.com解析到了X.X.X.X主机地址，并在npm中设定了返代到10081端口。docker ps的状态如下

1. 5272ea7c8dc6   jc21/nginx-proxy-manager:latest   "/init"              15 minutes ago   Up 15 minutes             0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp, 0.0.0.0:10081->81/tcp, :::10081->81/tcp   nginx-proxy-manager_app_1

复制代码

理想的结果是: 22 80 443端口可以正常访问，直接使用ip地址X.X.X.X:10081会被禁止访问。
目前的结果是: 22端口ssh连接正常，访问 X.X.X.X:80 443 10081都可以正常打开页面，但是访问域名test.com无法访问. 如果删除DROP那一条，域名就可以正常访问了。
请教一下大佬，我的设置是哪里有问题么，为什么已经设定drop规则，还能够通过ip地址访问10081端口？

iptables -L -v -n 的结果INPUT部分如下

1. Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
   
2. num   pkts bytes target     prot opt in     out     source               destination
   
3. 1       17   967 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   
4. 2     1539  116K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
   
5. 3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
   
6. 4        1    40 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
   
7. 5       97  9160 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
   
8. 6    60023   10M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
   

复制代码

---

作者: loveqianool    时间: 2021-12-29 08:02
把 docker 的 10081 删掉，然后把 80 到 81 就好了。

---

作者: Shiba    时间: 2021-12-29 08:11

loveqianool 发表于 2021-12-29 08:02
把 docker 的 10081 删掉，然后把 80 到 81 就好了。

请问下大佬，访问IP地址+端口10081，为什么不会被iptables DROP拦截呢？

---

作者: loveqianool    时间: 2021-12-29 08:13

Shiba 发表于 2021-12-29 08:11
请问下大佬，访问IP地址+端口10081，为什么不会被iptables DROP拦截呢？

https://github.com/chaifeng/ufw- ... D%E6%83%B3%E8%AF%BB

---

作者: yailone1    时间: 2021-12-29 08:16
容器
  -p 80:10081 \

---

作者: Shiba    时间: 2021-12-29 08:20

loveqianool 发表于 2021-12-29 08:13
https://github.com/chaifeng/ufw-docker#%E5%A4%AA%E9%95%BF%E4%B8%8D%E6%83%B3%E8%AF%BB

感谢大佬！！

---

欢迎光临 全球主机交流论坛 (https://91ai.net/)

Powered by Discuz! X3.4