iptables ดูเหมือนจะไม่หยุด

ฉันมีคอมพิวเตอร์ CentOS 7 ซึ่งแต่เดิมใช้ iptables เป็นเครื่องมือกำหนดค่าไฟร์วอลล์

คอมพิวเตอร์มีคอนเทนเนอร์นักเทียบท่าที่รับฟังพอร์ต 10079.

ฉันต้องการใช้ ไฟร์วอลล์ จะเข้ามาแทนที่ iptables.

ทั้งคู่ ไฟร์วอลล์ และ iptables วิ่งนอกคอนเทนเนอร์นักเทียบท่า ฉันไม่เรียกใช้มันภายในคอนเทนเนอร์

ดังนั้นฉันจึงรันคำสั่งต่อไปนี้

$ systemctl หยุด iptables
# ปิดการใช้งาน iptables เพื่อไม่ให้เริ่มทำงานเมื่อรีบูตระบบครั้งถัดไป
$ systemctl ปิดการใช้งาน iptables

$ systemctl เริ่มไฟร์วอลล์
$ systemctl เปิดใช้งานไฟร์วอลล์


$ firewall-cmd --list-services
dhcpv6-ไคลเอ็นต์ ssh

อย่างที่คุณเห็นจากผลลัพธ์ ไฟร์วอลล์ cmd - รายการบริการ คำสั่งฉันมีเพียง จุ๊ๆ, และ dhcpv6-ไคลเอนต์ เปิดใช้งานบริการแล้ว

อย่างไรก็ตาม สิ่งหนึ่งที่ฉันรู้สึกแปลกคือฉันยังคงสามารถเข้าถึงเซิร์ฟเวอร์ผ่านพอร์ตได้ 10079.

ฉันคิดว่ากฎของห่วงโซ่ของ iptables จะกลายเป็นโมฆะหลังจากทำงาน systemctl หยุด iptables สั่งการ.

แต่ฉันคิดผิดเพราะฉันยังคงสามารถเข้าถึงบริการบนคอมพิวเตอร์ผ่านพอร์ต 10079

เหตุใดฉันจึงยังเข้าถึงพอร์ตได้ 10079 หลังจากวิ่ง systemctl หยุด iptables สั่งการ?

นี่คือสถานะของ iptables และ ไฟร์วอลล์

$ systemctl สถานะ iptables
â iptables.service - ไฟร์วอลล์ IPv4 พร้อม iptables
   โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/iptables.service; ปิดใช้งาน; ค่าที่ตั้งไว้ล่วงหน้าของผู้ขาย: ปิดใช้งาน)
   ใช้งาน: ไม่ได้ใช้งาน (ตาย) ตั้งแต่ ศ. 2021-06-18 16:56:38 CST; 47 นาทีที่แล้ว
  กระบวนการ: 18324 ExecStop=/usr/libexec/iptables/iptables.init stop (code=exited, status=0/SUCCESS)
  กระบวนการ: 18220 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 PID หลัก: 18220 (รหัส=ออก สถานะ=0/สำเร็จ)

18 มิ.ย. 16:56:22 น. foo.my-company.com systemd[1]: กำลังเริ่มไฟร์วอลล์ IPv4 ด้วย iptables...
18 มิ.ย. 16:56:22 น. foo.my-company.com iptables.init[18220]: iptables: การใช้กฎไฟร์วอลล์: [ ตกลง ]
18 มิ.ย. 16:56:22 foo.my-company.com systemd[1]: เริ่มไฟร์วอลล์ IPv4 ด้วย iptables
18 มิ.ย. 16:56:38 น. foo.my-company.com systemd[1]: กำลังหยุดไฟร์วอลล์ IPv4 ด้วย iptables...
18 มิ.ย. 16:56:38 น. foo.my-company.com iptables.init[18324]: iptables: การตั้งค่า chains เป็นนโยบาย ACCEPT: nat mangle security raw fil...OK ]
18 มิ.ย. 16:56:38 น. foo.my-company.com iptables.init[18324]: iptables: ล้างกฎไฟร์วอลล์: [ ตกลง ]
18 มิ.ย. 16:56:38 foo.my-company.com systemd[1]: หยุดไฟร์วอลล์ IPv4 ด้วย iptables
คำแนะนำ: บางบรรทัดเป็นวงรี ใช้ -l เพื่อแสดงแบบเต็ม

ไฟร์วอลล์สถานะ $ systemctl
â firewalld.service - firewalld - daemon ไฟร์วอลล์แบบไดนามิก
   โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/firewalld.service; เปิดใช้งาน; การตั้งค่าล่วงหน้าของผู้ขาย: เปิดใช้งาน)
   ใช้งานอยู่: ใช้งาน (ทำงาน) ตั้งแต่ ศ. 2021-06-18 16:56:38 CST; 48 นาทีที่แล้ว
     เอกสาร: man:firewalld(1)
 PID หลัก: 18325 (ไฟร์วอลล์)
    งาน: 2
   หน่วยความจำ: 26.0M
   CGroup: /system.slice/firewalld.service
           ââ18325 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid

18 มิ.ย. 16:56:38 น. foo.my-company.com systemd[1]: กำลังเริ่มต้นไฟร์วอลล์ - ดีมอนไฟร์วอลล์ไดนามิก...
18 มิ.ย. 16:56:38 น. foo.my-company.com systemd[1]: Started firewalld - dynamic firewall daemon
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: เปิดใช้งาน AllowZoneDrifting ซึ่งถือว่าไม่ปลอดภัยในขณะนี้
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-e06022...ain?)
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-ee12e0...ain?)
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-37072d...ain?)
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -...ain?)
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-95db75...ain?)
18 มิ.ย. 16:56:39 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-d77a44...ain?)
18 มิ.ย. 16:56:40 น. foo.my-company.com firewalld[18325]: คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -...ain?)
คำแนะนำ: บางบรรทัดเป็นวงรี ใช้ -l เพื่อแสดงแบบเต็ม

ดูเหมือนว่า ไฟร์วอลล์ เริ่มต้นอย่างถูกต้องและ iptables ถูกปิดใช้งาน

นี่คือเนื้อหาของ /var/log/ไฟร์วอลล์ เมื่อรีสตาร์ทคอมพิวเตอร์ตอนนี้:

18-06-2021 22:13:19 คำเตือน: AllowZoneDrifting เปิดใช้งานอยู่ นี่ถือเป็นตัวเลือกการกำหนดค่าที่ไม่ปลอดภัย มันจะถูกลบออกในรุ่นต่อๆ ไป โปรดพิจารณาปิดการใช้งานทันที
2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING -m addrtype --dst-type LOCAL -j DOCKER' ล้มเหลว: iptables v1.4.21: ไม่สามารถทำได้ 'ไม่โหลดเป้าหมาย `DOCKER': ไม่มีไฟล์หรือไดเร็กทอรีดังกล่าว

ลอง `iptables -h' หรือ 'iptables --help' สำหรับข้อมูลเพิ่มเติม

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT -m addrtype --dst-type LOCAL ! --dst 127.0.0.0/8 -j DOCKER' ล้มเหลว: iptables v1.4.21: ไม่สามารถโหลดเป้าหมาย `DOCKER': ไม่มีไฟล์หรือไดเร็กทอรีดังกล่าว

ลอง `iptables -h' หรือ 'iptables --help' สำหรับข้อมูลเพิ่มเติม

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT -m addrtype --dst-type LOCAL -j DOCKER' ล้มเหลว: iptables v1.4.21: ไม่สามารถทำได้ 'ไม่โหลดเป้าหมาย `DOCKER': ไม่มีไฟล์หรือไดเร็กทอรีดังกล่าว

ลอง `iptables -h' หรือ 'iptables --help' สำหรับข้อมูลเพิ่มเติม

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING' ล้มเหลว: iptables: กฎไม่ถูกต้อง (มีกฎการจับคู่อยู่ในเชนนั้นหรือไม่)

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT' ล้มเหลว: iptables: กฎไม่ถูกต้อง (มีกฎการจับคู่อยู่ในเชนนั้นหรือไม่)

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -F DOCKER' ล้มเหลว: iptables: ไม่มีห่วงโซ่/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -X DOCKER' ล้มเหลว: iptables: ไม่มีห่วงโซ่/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER' ล้มเหลว: iptables: ไม่มีห่วงโซ่/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER' ล้มเหลว: iptables: ไม่มีห่วงโซ่/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION-STAGE-1' ล้มเหลว: iptables: ไม่มีเชน/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION-STAGE-1' ล้มเหลว: iptables: ไม่มีเชน/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION-STAGE-2' ล้มเหลว: iptables: ไม่มีเชน/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION-STAGE-2' ล้มเหลว: iptables: ไม่มีเชน/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER-ISOLATION' ล้มเหลว: iptables: ไม่มีห่วงโซ่/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -X DOCKER-ISOLATION' ล้มเหลว: iptables: ไม่มีเชน/เป้าหมาย/ตรงกับชื่อนั้น

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-ee12e0b3bd4b -o br-ee12e0b3bd4b -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (จับคู่ กฎมีอยู่ในห่วงโซ่นั้นหรือไม่)

2021-06-18 22:13:21 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-37072db2b0a2 -o br-37072db2b0a2 -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (จับคู่ กฎมีอยู่ในห่วงโซ่นั้นหรือไม่)

2021-06-18 22:13:22 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-95db758dd575 -o br-95db758dd575 -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (จับคู่ กฎมีอยู่ในห่วงโซ่นั้นหรือไม่)

2021-06-18 22:13:22 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (มีกฎการจับคู่อยู่ในนั้นหรือไม่ โซ่?).

2021-06-18 22:13:22 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-d77a4470f1ee -o br-d77a4470f1ee -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (จับคู่ กฎมีอยู่ในห่วงโซ่นั้นหรือไม่)

2021-06-18 22:13:22 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-e06022f15557 -o br-e06022f15557 -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (จับคู่ กฎมีอยู่ในห่วงโซ่นั้นหรือไม่)

2021-06-18 22:13:22 คำเตือน: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' ล้มเหลว: iptables: กฎไม่ถูกต้อง (มีกฎการจับคู่อยู่ในนั้นหรือไม่ โซ่?).

เนื้อหาบันทึกมีคำเตือนมากมายเกี่ยวกับนักเทียบท่า บางทีปัญหานี้อาจเกี่ยวข้องกับนักเทียบท่า

นี่คือการตั้งค่า iptables ปัจจุบันของฉัน

$ iptables -L -n
เชนอินพุท (ยอมรับนโยบาย)
เป้าหมาย prot เลือกปลายทางต้นทาง         
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
INPUT_direct ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
INPUT_ZONES_SOURCE ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
INPUT_ZONES ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
วางทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
ปฏิเสธทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ปฏิเสธด้วย icmp-host-prohibited

ห่วงโซ่ FORWARD (นโยบาย DROP)
เป้าหมาย prot เลือกปลายทางต้นทาง         
นักเทียบท่า-ผู้ใช้ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-1 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
นักเทียบท่าทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_direct ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_IN_ZONES_SOURCE ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_IN_ZONES ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_OUT_ZONES_SOURCE ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FORWARD_OUT_ZONES ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
วางทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
ปฏิเสธทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 ปฏิเสธด้วย icmp-host-prohibited

Chain OUTPUT (ยอมรับนโยบาย)
เป้าหมาย prot เลือกปลายทางต้นทาง         
ยอมรับทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
OUTPUT_direct ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           

Chain DOCKER (อ้างอิง 6 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
ยอมรับ tcp -- 0.0.0.0/0 172.21.0.2 tcp dpt:443
ยอมรับ tcp -- 0.0.0.0/0 192.168.208.2 tcp dpt:8005
ยอมรับ tcp -- 0.0.0.0/0 172.29.0.3 tcp dpt:8080
ยอมรับ tcp -- 0.0.0.0/0 172.20.0.3 tcp dpt:5432
ยอมรับ tcp -- 0.0.0.0/0 172.21.0.3 tcp dpt:5432
ยอมรับ tcp -- 0.0.0.0/0 172.20.0.4 tcp dpt:80
ยอมรับ tcp -- 0.0.0.0/0 172.21.0.4 tcp dpt:9000
ยอมรับ tcp -- 0.0.0.0/0 172.20.0.4 tcp dpt:22

Chain DOCKER-ISOLATION-STAGE-1 (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2 ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
คืนทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (อ้างอิง 6 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ดรอปทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
คืนทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           

Chain DOCKER-USER (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
คืนทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           

เชน FORWARD_IN_ZONES (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
FWDI_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 
FWDI_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 

เชน FORWARD_IN_ZONES_SOURCE (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FORWARD_OUT_ZONES (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
FWDO_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 
FWDO_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 

เชน FORWARD_OUT_ZONES_SOURCE (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FORWARD_direct (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDI_public (อ้างอิง 2 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
FWDI_public_log ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FWDI_public_deny ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FWDI_public_allow ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับ icmp -- 0.0.0.0/0 0.0.0.0/0           

เชน FWDI_public_allow (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDI_public_deny (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDI_public_log (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDO_public (อ้างอิง 2 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
FWDO_public_log ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FWDO_public_deny ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
FWDO_public_allow ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           

เชน FWDO_public_allow (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDO_public_deny (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน FWDO_public_log (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน INPUT_ZONES (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
IN_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 
IN_public ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0 [goto] 

เชน INPUT_ZONES_SOURCE (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน INPUT_direct (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน IN_public (อ้างอิง 2 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
IN_public_log ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
IN_public_deny ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
IN_public_allow ทั้งหมด -- 0.0.0.0/0 0.0.0.0/0           
ยอมรับ icmp -- 0.0.0.0/0 0.0.0.0/0           

เชน IN_public_allow (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         
ยอมรับ tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate ใหม่ ไม่ได้ติดตาม

เชน IN_public_deny (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน IN_public_log (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

เชน OUTPUT_direct (อ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง         

Firewalld เพิ่มเลเยอร์ของนามธรรมที่ด้านบนของ iptables ในเคอร์เนล ในขณะที่ systemctl หยุด iptables คำสั่งอาจหยุดยูทิลิตีพื้นที่ผู้ใช้สำหรับการจัดการเชน การกำหนดค่าเคอร์เนลดูเหมือนจะไม่ได้รับการแก้ไขโดยสิ่งนั้น (ถ้าให้ฉันเดา การหยุดบริการน่าจะบันทึกเชนเพื่อให้คุณคงอยู่ในการตั้งค่าระหว่างการรีบูต)

นักเทียบท่าเองจัดการการตั้งค่า iptables ของเคอร์เนลเป็นจำนวนมากเพื่อกำหนดค่าเครือข่ายระหว่างคอนเทนเนอร์และออกไปยังโฮสต์ นอกเหนือจากการสร้างเครือข่ายบริดจ์และอุปกรณ์อีเธอร์เน็ตเสมือนแล้ว ยังมีกฎ NAT ที่สร้างขึ้นเพื่ออนุญาตให้คอนเทนเนอร์เชื่อมต่อกับเครือข่ายในฐานะโฮสต์ของคุณและสำหรับการส่งต่อพอร์ต (จากโฮสต์ไปยังคอนเทนเนอร์) จะมีการรวมกันของพื้นที่ผู้ใช้ นักเทียบท่าพร็อกซี กระบวนการที่รับฟังและกฎการส่งต่อต่างๆ ทั้งหมดนี้ได้รับการกำหนดค่าโดยอัตโนมัติเมื่อคุณเผยแพร่พอร์ต และข้ามกฎการกรองใดๆ ที่คุณกำหนดค่าในเครื่องมือเช่น firewalld คุณสามารถดูสิ่งนี้ได้ใน ซึ่งไปข้างหน้า ตารางที่ต่างๆ นักเทียบท่า รายการตารางถูกสร้างขึ้นก่อนรายการต่างๆ *_ZONES รายการ.

หากคุณต้องการตั้งค่านโยบายไฟร์วอลล์บนพอร์ตที่เผยแพร่ กระบวนการคือการใช้ นักเทียบท่า-ผู้ใช้ ตารางและรวมกับ conntrack เพื่อจัดการกับการบิดเบือนที่ NAT ทำ ผลลัพธ์ดูเหมือนว่า:

# วางคำขอภายนอกตามค่าเริ่มต้น
# กฎนี้เป็นกฎข้อแรกเพราะสิ่งเหล่านี้คือส่วนแทรกที่ด้านบนสุดของห่วงโซ่
# ดังนั้นการแทรกครั้งแรกจึงกลายเป็นกฎสุดท้ายที่รันในห่วงโซ่
# โดยค่าเริ่มต้น ตาราง DOCKER-USER จะมีรายการ RETURN รายการเดียวสำหรับ
# ทุกอย่างต้องแทรกกฎอื่น ๆ ก่อนหน้านี้
iptables -I DOCKER-USER -j DROP
# อนุญาตคำขอที่มีอยู่
iptables -I DOCKER-USER -m conntrack --ctstate ESTABLISHED, RELATED -j RETURN
# อนุญาตคำขอระหว่างคอนเทนเนอร์
iptables -I DOCKER-USER -i br+ -j RETURN 
# อนุญาตคำขอจากนักเทียบท่าไปยังภายนอก
iptables -I DOCKER-USER -i docker+ -j RETURN
# อนุญาตให้โฮสต์พอร์ต 5,000 ได้ทุกอย่าง
iptables -I DOCKER-USER -p tcp -m conntrack --ctorigdstport 5000 -j ผลตอบแทน