iptables dường như không bị dừng lại

Tôi có một máy tính CentOS 7, ban đầu sử dụng iptables như công cụ cấu hình tường lửa của nó.

Máy tính có bộ chứa docker lắng nghe cổng 10079.

tôi muốn sử dụng tường lửa thay thế iptables.

Cả hai tường lửa và iptables chạy bên ngoài vùng chứa docker. Tôi không chạy chúng bên trong container.

Vì vậy, tôi chạy các lệnh sau

$ systemctl dừng iptables
# tắt iptables để nó không khởi động ở lần khởi động lại hệ thống tiếp theo.
$ systemctl vô hiệu hóa iptables

$ systemctl bắt đầu tường lửa
$ systemctl kích hoạt tường lửa


$ tường lửa-cmd --list-dịch vụ
dhcpv6-máy khách ssh

Như bạn có thể thấy từ đầu ra tường lửa-cmd --list-services lệnh, tôi chỉ có ssh, và dhcpv6-máy khách dịch vụ được kích hoạt.

Tuy nhiên có một điều mà tôi cảm thấy lạ là tôi vẫn có thể truy cập vào máy chủ thông qua cổng 10079.

Tôi nghĩ rằng các quy tắc của chuỗi của iptables sẽ trở nên không hợp lệ sau khi chạy systemctl dừng iptables chỉ huy.

Nhưng tôi đã nhầm.Bởi vì tôi vẫn có thể truy cập một dịch vụ trên máy tính thông qua cổng 10079.

Tại sao tôi vẫn có thể truy cập cổng 10079 sau khi chạy systemctl dừng iptables chỉ huy?

Đây là tình trạng của iptables và tường lửa

$ systemctl trạng thái iptables
â iptables.service - Tường lửa IPv4 với iptables
   Đã tải: đã tải (/usr/lib/systemd/system/iptables.service; bị vô hiệu hóa; cài đặt sẵn của nhà cung cấp: bị vô hiệu hóa)
   Đang hoạt động: không hoạt động (đã chết) kể từ Thứ Sáu 2021-06-18 16:56:38 CST; 47 phút trước
  Quá trình: 18324 ExecStop=/usr/libexec/iptables/iptables.init dừng (mã=đã thoát, trạng thái=0/THÀNH CÔNG)
  Quá trình: 18220 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 PID chính: 18220 (mã=đã thoát, trạng thái=0/THÀNH CÔNG)

Ngày 18 tháng 6 16:56:22 foo.my-company.com systemd[1]: Khởi động tường lửa IPv4 với iptables...
Ngày 18 tháng 6 16:56:22 foo.my-company.com iptables.init[18220]: iptables: Áp dụng quy tắc tường lửa: [ OK ]
Ngày 18 tháng 6 16:56:22 foo.my-company.com systemd[1]: Bắt đầu tường lửa IPv4 với iptables.
Ngày 18 tháng 6 16:56:38 foo.my-company.com systemd[1]: Dừng tường lửa IPv4 với iptables...
Ngày 18 tháng 6 16:56:38 foo.my-company.com iptables.init[18324]: iptables: Đặt chuỗi thành chính sách CHẤP NHẬN: nat mangle security raw fil...OK ]
Ngày 18 tháng 6 16:56:38 foo.my-company.com iptables.init[18324]: iptables: Xóa các quy tắc tường lửa: [ OK ]
Ngày 18 tháng 6 16:56:38 foo.my-company.com systemd[1]: Đã dừng tường lửa IPv4 với iptables.
Gợi ý: Một số dòng có hình elip, sử dụng -l để hiển thị đầy đủ.

$ tường lửa trạng thái systemctl
â tường lửa.service - tường lửa - daemon tường lửa động
   Đã tải: đã tải (/usr/lib/systemd/system/firewalld.service; đã bật; giá trị đặt sẵn của nhà cung cấp: đã bật)
   Hoạt động: hoạt động (đang chạy) kể từ Thứ Sáu 2021-06-18 16:56:38 CST; 48 phút trước
     Tài liệu: man:firewall(1)
 PID chính: 18325 (tường lửa)
    Nhiệm vụ: 2
   Bộ nhớ: 26.0M
   Nhóm C: /system.slice/firewalld.service
           ââ18325 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid

Ngày 18 tháng 6 16:56:38 foo.my-company.com systemd[1]: Khởi động tường lửa - daemon tường lửa động...
Ngày 18 tháng 6 16:56:38 foo.my-company.com systemd[1]: Bắt đầu tường lửa - daemon tường lửa động.
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: AllowZoneDrifting được bật. Điều này được coi là một con...t con không an toàn bây giờ.
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-e06022...ain?).
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-ee12e0...ain?).
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-37072d...ain?).
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -...ain?).
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-95db75...ain?).
Ngày 18 tháng 6 16:56:39 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-d77a44...ain?).
Ngày 18 tháng 6 16:56:40 foo.my-company.com tường lửa [18325]: CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -...ain?).
Gợi ý: Một số dòng có hình elip, sử dụng -l để hiển thị đầy đủ.

Nó trông giống như vậy tường lửa được bắt đầu một cách chính xác, và iptables đã bị vô hiệu hóa.

Đây là nội dung của /var/log/tường lửa khi khởi động lại máy tính của tôi bây giờ:

2021-06-18 22:13:19 CẢNH BÁO: AllowZoneDrifting được bật. Đây được coi là một tùy chọn cấu hình không an toàn. Nó sẽ được gỡ bỏ trong một bản phát hành trong tương lai. Vui lòng xem xét việc vô hiệu hóa nó ngay bây giờ.
2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING -m addrtype --dst-type LOCAL -j DOCKER' không thành công: iptables v1.4.21: Cann 'không tải mục tiêu `DOCKER':Không có tệp hoặc thư mục như vậy

Hãy thử `iptables -h' hoặc 'iptables --help' để biết thêm thông tin.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT -m addrtype --dst-type LOCAL ! --dst 127.0.0.0/8 -j DOCKER' không thành công: iptables v1.4.21: Không thể tải mục tiêu `DOCKER': Không có tệp hoặc thư mục như vậy

Hãy thử `iptables -h' hoặc 'iptables --help' để biết thêm thông tin.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT -m addrtype --dst-type LOCAL -j DOCKER' không thành công: iptables v1.4.21: Cann 'không tải mục tiêu `DOCKER':Không có tệp hoặc thư mục như vậy

Hãy thử `iptables -h' hoặc 'iptables --help' để biết thêm thông tin.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING' không thành công: iptables: Quy tắc sai (có quy tắc phù hợp tồn tại trong chuỗi đó không?).

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT' không thành công: iptables: Quy tắc sai (có quy tắc phù hợp tồn tại trong chuỗi đó không?).

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -F DOCKER' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t nat -X DOCKER' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

18-06-2021 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION-STAGE-1' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION-STAGE-1' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION-STAGE-2' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION-STAGE-2' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION' không thành công: iptables: Không có chuỗi/mục tiêu/khớp với tên đó.

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-ee12e0b3bd4b -o br-ee12e0b3bd4b -j DROP' không thành công: iptables: Quy tắc sai (khớp quy tắc tồn tại trong chuỗi đó?).

2021-06-18 22:13:21 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-37072db2b0a2 -o br-37072db2b0a2 -j DROP' không thành công: iptables: Quy tắc sai (khớp quy tắc tồn tại trong chuỗi đó?).

2021-06-18 22:13:22 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-95db758dd575 -o br-95db758dd575 -j DROP' không thành công: iptables: Quy tắc sai (không khớp quy tắc tồn tại trong chuỗi đó?).

2021-06-18 22:13:22 CẢNH BÁO: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' không thành công: iptables: Quy tắc sai (có tồn tại quy tắc phù hợp trong đó chuỗi?).

2021-06-18 22:13:22 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-d77a4470f1ee -o br-d77a4470f1ee -j DROP' không thành công: iptables: Quy tắc sai (khớp quy tắc tồn tại trong chuỗi đó?).

2021-06-18 22:13:22 CẢNH BÁO: LỆNH_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-e06022f15557 -o br-e06022f15557 -j DROP' không thành công: iptables: Quy tắc sai (khớp quy tắc tồn tại trong chuỗi đó?).

2021-06-18 22:13:22 CẢNH BÁO: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' không thành công: iptables: Quy tắc sai (có tồn tại quy tắc phù hợp trong đó chuỗi?).

Nội dung nhật ký chứa rất nhiều cảnh báo về docker. Có lẽ vấn đề này có liên quan đến docker.

Đây là cài đặt iptables hiện tại của tôi.

$ iptables -L -n
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích         
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
INPUT_direct tất cả -- 0.0.0.0/0 0.0.0.0/0           
INPUT_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0           
INPUT_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0           
DROP tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
TỪ CHỐI tất cả -- 0.0.0.0/0 0.0.0.0/0 từ chối với icmp-host-bị cấm

Chuỗi FORWARD (chính sách DROP)
đích prot opt ​​nguồn đích         
DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-1 tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
DOCKER tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_direct tất cả -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_IN_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_IN_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_OUT_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_OUT_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0           
DROP tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
TỪ CHỐI tất cả -- 0.0.0.0/0 0.0.0.0/0 từ chối với icmp-host-bị cấm

ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích         
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0           
OUTPUT_direct tất cả -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi DOCKER (6 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
CHẤP NHẬN tcp -- 0.0.0.0/0 172.21.0.2 tcp dpt:443
CHẤP NHẬN tcp -- 0.0.0.0/0 192.168.208.2 tcp dpt:8005
CHẤP NHẬN tcp -- 0.0.0.0/0 172.29.0.3 tcp dpt:8080
CHẤP NHẬN tcp -- 0.0.0.0/0 172.20.0.3 tcp dpt:5432
CHẤP NHẬN tcp -- 0.0.0.0/0 172.21.0.3 tcp dpt:5432
CHẤP NHẬN tcp -- 0.0.0.0/0 172.20.0.4 tcp dpt:80
CHẤP NHẬN tcp -- 0.0.0.0/0 172.21.0.4 tcp dpt:9000
CHẤP NHẬN tcp -- 0.0.0.0/0 172.20.0.4 tcp dpt:22

Chuỗi DOCKER-ISOLATION-STAGE-1 (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 tất cả -- 0.0.0.0/0 0.0.0.0/0           
TRẢ LẠI tất cả -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi DOCKER-ISOLATION-STAGE-2 (6 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
THẢ tất cả -- 0.0.0.0/0 0.0.0.0/0           
TRẢ LẠI tất cả -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi DOCKER-USER (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
TRẢ LẠI tất cả -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi FORWARD_IN_ZONES (1 tham chiếu)
đích prot opt ​​nguồn đích         
FWDI_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 
FWDI_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 

Chuỗi FORWARD_IN_ZONES_SOURCE (1 tham chiếu)
đích prot opt ​​nguồn đích         

Chuỗi FORWARD_OUT_ZONES (1 tham chiếu)
đích prot opt ​​nguồn đích         
FWDO_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 
FWDO_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 

Chuỗi FORWARD_OUT_ZONES_SOURCE (1 tham chiếu)
đích prot opt ​​nguồn đích         

Chuỗi FORWARD_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDI_public (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
FWDI_public_log tất cả -- 0.0.0.0/0 0.0.0.0/0           
FWDI_public_deny tất cả -- 0.0.0.0/0 0.0.0.0/0           
FWDI_public_allow tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN icmp -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi FWDI_public_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDI_public_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDI_public_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDO_public (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
FWDO_public_log tất cả -- 0.0.0.0/0 0.0.0.0/0           
FWDO_public_deny tất cả -- 0.0.0.0/0 0.0.0.0/0           
FWDO_public_allow tất cả -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi FWDO_public_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDO_public_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi FWDO_public_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi INPUT_ZONES (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
IN_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 
IN_công khai tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto] 

Chuỗi INPUT_ZONES_SOURCE (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi INPUT_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi IN_public (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
IN_public_log tất cả -- 0.0.0.0/0 0.0.0.0/0           
IN_public_deny all -- 0.0.0.0/0 0.0.0.0/0           
IN_public_allow tất cả -- 0.0.0.0/0 0.0.0.0/0           
CHẤP NHẬN icmp -- 0.0.0.0/0 0.0.0.0/0           

Chuỗi IN_public_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         
CHẤP NHẬN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate MỚI, KHÔNG BỊ THEO DÕI

Chuỗi IN_public_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi IN_public_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Chuỗi OUTPUT_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích         

Firewalld thêm một lớp trừu tượng lên trên iptables trong kernel. Trong khi systemctl dừng iptables lệnh có thể đã dừng tiện ích không gian người dùng để quản lý chuỗi, cấu hình hạt nhân dường như không bị sửa đổi bởi điều đó (nếu tôi đoán, việc dừng dịch vụ có thể sẽ lưu chuỗi để giúp bạn duy trì cài đặt giữa các lần khởi động lại).

Bản thân Docker thực hiện rất nhiều việc quản lý cài đặt iptables của kernel để định cấu hình kết nối mạng giữa các vùng chứa và ra máy chủ. Ngoài việc tạo mạng cầu nối và thiết bị ethernet ảo, còn có các quy tắc NAT được tạo để cho phép các vùng chứa kết nối với mạng với tư cách là máy chủ của bạn.Và để chuyển tiếp cổng (từ máy chủ đến vùng chứa), có sự kết hợp của không gian người dùng docker-proxy quá trình lắng nghe và các quy tắc chuyển tiếp khác nhau. Tất cả điều này được định cấu hình tự động khi bạn xuất bản một cổng và bỏ qua mọi quy tắc lọc mà bạn định cấu hình trong một công cụ như tường lửa. Bạn có thể thấy điều này trong PHÍA TRƯỚC bảng nơi khác nhau CÔNG CỤ các mục trong bảng được tạo trước các mục khác nhau *_KHU mục.

Nếu bạn muốn thiết lập chính sách tường lửa trên các cổng đã xuất bản, quy trình là sử dụng DOCKER-NGƯỜI DÙNG table và kết hợp với conntrack để xử lý việc xáo trộn mà NAT thực hiện. Kết quả trông giống như:

# Loại bỏ các yêu cầu bên ngoài theo mặc định.
# Quy tắc này là đầu tiên bởi vì đây là mỗi phần chèn ở đầu chuỗi
# để lần chèn đầu tiên trở thành lần chạy quy tắc cuối cùng trong chuỗi.
# Theo mặc định, bảng DOCKER-USER chứa một mục RETURN duy nhất cho
# mọi thứ nên các quy tắc khác phải được chèn trước điều này.
iptables -I DOCKER-USER -j DROP
# cho phép các yêu cầu hiện có
iptables -I DOCKER-USER -m conntrack --ctstate THÀNH LẬP, LIÊN QUAN -j TRẢ LẠI
# cho phép yêu cầu liên vùng chứa
iptables -I DOCKER-USER -i br+ -j RETURN 
# cho phép yêu cầu từ docker đến bên ngoài
iptables -I DOCKER-USER -i docker+ -j RETURN
# cho phép mọi thứ lưu trữ cổng 5000
iptables -I DOCKER-USER -p tcp -m conntrack --ctorigdstport 5000 -j RETURN