全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 1377|回复: 5

[nginx] 请教大佬iptables配置的问题

[复制链接]
发表于 2021-12-29 07:53:28 | 显示全部楼层 |阅读模式
本帖最后由 Shiba 于 2021-12-29 08:00 编辑

Debian11系统VPS,使用如下命令想要实现只暴露主机的22 80 443端口,其他的端口都封上
  1. #
  2. iptables -A INPUT -i lo -j ACCEPT
  3. #
  4. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  5. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  6. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  7. #
  8. iptables -A INPUT -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  9. #
  10. iptables -A INPUT -j DROP
复制代码


运行着一个nginx-proxy-manager的容器,把域名test.com解析到了X.X.X.X主机地址,并在npm中设定了返代到10081端口。docker ps的状态如下
  1. 5272ea7c8dc6   jc21/nginx-proxy-manager:latest   "/init"              15 minutes ago   Up 15 minutes             0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp, 0.0.0.0:10081->81/tcp, :::10081->81/tcp   nginx-proxy-manager_app_1
复制代码


理想的结果是: 22 80 443端口可以正常访问,直接使用ip地址X.X.X.X:10081会被禁止访问。
目前的结果是: 22端口ssh连接正常,访问 X.X.X.X:80 443 10081都可以正常打开页面,但是访问域名test.com无法访问. 如果删除DROP那一条,域名就可以正常访问了。
请教一下大佬,我的设置是哪里有问题么,为什么已经设定drop规则,还能够通过ip地址访问10081端口?

iptables -L -v -n 的结果INPUT部分如下
  1. Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  2. num   pkts bytes target     prot opt in     out     source               destination
  3. 1       17   967 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  4. 2     1539  116K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
  5. 3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  6. 4        1    40 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
  7. 5       97  9160 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  8. 6    60023   10M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
复制代码

发表于 2021-12-29 08:13:50 | 显示全部楼层
Shiba 发表于 2021-12-29 08:11
请问下大佬,访问IP地址+端口10081,为什么不会被iptables DROP拦截呢?

https://github.com/chaifeng/ufw- ... D%E6%83%B3%E8%AF%BB
发表于 2021-12-29 08:02:46 | 显示全部楼层
把 docker 的 10081 删掉,然后把 80 到 81 就好了。
 楼主| 发表于 2021-12-29 08:11:26 | 显示全部楼层
loveqianool 发表于 2021-12-29 08:02
把 docker 的 10081 删掉,然后把 80 到 81 就好了。

请问下大佬,访问IP地址+端口10081,为什么不会被iptables DROP拦截呢?
发表于 2021-12-29 08:16:42 | 显示全部楼层
容器
  -p 80:10081 \
 楼主| 发表于 2021-12-29 08:20:49 | 显示全部楼层
loveqianool 发表于 2021-12-29 08:13
https://github.com/chaifeng/ufw-docker#%E5%A4%AA%E9%95%BF%E4%B8%8D%E6%83%B3%E8%AF%BB

感谢大佬!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 20:20 , Processed in 0.062535 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表