EExcel 丞燕快速查詢2

EExcel 丞燕快速查詢2
EExcel 丞燕快速查詢2 https://sandk.ffbizs.com/

docker iptables part 2

restart docker service iptables be reset

Docker Basic rule (New Docker maybe change somethings)

*nat
:PREROUTING ACCEPT [27:11935]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [598:57368]
:POSTROUTING ACCEPT [591:57092]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
COMMIT
# Completed on Sun Sep 20 17:35:31 2015
# Generated by iptables-save v1.4.21 on Sun Sep 20 17:35:31 2015
*filter 
:INPUT ACCEPT [139291:461018923]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [127386:5251162]
:DOCKER - [0:0]
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
COMMIT
# Completed on Sun Sep 20 17:35:31 2015



Other firewall control

iptables -A INPUT -s xxx.xxx.xxx.xxx/32 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx/16 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx/8 -j ACCEPT

iptables INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables INPUT -m state --state NEW -m tcp -p tcp --dport 8545:8560 -j ACCEPT



======CentOS RedHatOS 需注意事項======

RH-Firewall-1-INPUT
http://linux.vbird.org/linux_server/0250simple_firewall/0250simple_firewall-centos5.php
http://www.voidcn.com/article/p-xnzrlybo-bhv.html

預設規則中,INPUT 與 FORWARD 的規則一致,因此 CentOS 將兩條鏈的規則寫在一塊,變成一個自訂鏈 RH-Firewall-1-INPUT 的鏈!

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT


Red hat独有的防火墙设置,把INPUT 和 FORWARD 链引到一起统一处理。所以在这种防火墙规则的前提下,增加防火墙规则时,必须把规则都添加到子链RH-Firewall-1 -INPUT中,这样才会生效,添加到父链中是没有效果的。

RH-Firewall-1 -INPUT chain的最後一條規則是:
-A
RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。

解法:-A INPUT -> -A RH-Firewall-1-INPUT

另一種方式
http://blog.ihipop.info/2010/03/705.html

-I INPUT  移到 -A RH-Firewall-1-INPUT 上方
-I :插入一條規則。如果沒有指定此規則的順序,預設是插入變成第一條規則。



https://dywang.csie.cyut.edu.tw/dywang/linuxserver/node24.html

.不啟動 NAT 功能的 Linux 主機,只要使用過濾表格 filter 的 INPUT 及 OUTPUT 鏈就夠了

.啟用 NAT 主機,除過濾功能外,還要考慮 FORWARD 轉送功能,且要使用位址轉換表格的 POSTROUTING 鏈,將符合規則的封包,其封包位址由內網私有 IP 偽裝 (MASQUERADE) 成 NAT 對外 IP,才能連上網際網路