1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DOCKER-USER all -- anywhere anywhere
DOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DOCKER (1 references)
target prot opt source destination
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
|
这是 iptables 的输出,显示了当前的防火墙规则。以下是每个部分的解释:
- 政策 (policy):
ACCEPT 表示默认允许所有进入的流量。
- 规则: 当前没有具体的规则定义,意味着所有进入的流量都会被接受。
Chain FORWARD
- 政策 (policy):
ACCEPT 表示默认允许所有转发的流量。
- 规则:
DOCKER-USER: 用户自定义的链,通常用于 Docker 的流量管理。DOCKER-ISOLATION-STAGE-1: Docker 的隔离阶段链。ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED: 允许所有相关和已建立的连接。DOCKER: Docker 处理的流量。ACCEPT all -- anywhere anywhere: 允许所有流量(这条规则可能不必要,因为前面的规则已经允许了所有流量)。
Chain OUTPUT
- 政策 (policy):
ACCEPT 表示默认允许所有输出的流量。
- 规则: 当前没有具体的规则定义,意味着所有输出的流量都会被接受。
Chain DOCKER
- 这是 Docker 生成的链,当前没有具体的规则。
Chain DOCKER-ISOLATION-STAGE-1
- 这是 Docker 的隔离阶段链。
- 规则:
DOCKER-ISOLATION-STAGE-2: 进一步的隔离处理。RETURN: 返回到调用该链的地方。
Chain DOCKER-ISOLATION-STAGE-2
- 规则:
DROP all -- anywhere anywhere: 丢弃所有流量。RETURN: 返回到调用该链的地方。
Chain DOCKER-USER
- 用户自定义的链,用于 Docker 的流量管理。
- 规则:
总结
- 这个配置允许所有进入和输出的流量,转发流量也被允许。
- Docker 相关的链用于管理容器之间的流量,包含了一些隔离和处理规则。
- 这种配置可能不够安全,尤其是在生产环境中,建议根据需要设置更严格的规则。