目录

​编辑

一、实操背景

二、iptables 简介

三、模拟操作

---

一、实操背景

---

背景： 在客户有外网的服务器需要访问内网大数据集群HDFS，使用iptable模拟测试需要开放的端口。

---

二、iptables 简介

---

具体介绍看文章： 【Linux】Iptables 详解与实战案例_linux iptable-CSDN博客

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。

链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。

规则链名包括(也被称为五个钩子函数(hook functions))：

• INPUT链 ：处理输入数据包。
• OUTPUT链 ：处理输出数据包。
• FORWARD链 ：处理转发数据包。
• PREROUTING链 ：用于目标地址转换(DNAT)。
• POSTOUTING链 ：用于源地址转换(SNAT)。

---

三、模拟操作

---

对某台HDFS Client服务器禁止所有的INPUT FORWARD OUTPUT 只对某些端口开放。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

开启 22端口 可以使用远程工具连接

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

开启8020 ,88, 749 端口

iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.154 --dport 8020 -j ACCEPTiptables -I OUTPUT -s 192.168.2.155 -p udp -d 192.168.2.152 --dport 88 -j ACCEPT
iptables -I OUTPUT -s 192.168.2.155 -p udp -d 192.168.2.152 --dport 749 -j ACCEPT 

上传文件报错 datanode 1019端口

继续放开 DataNode 1019端口

iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.152 --dport 1019 -j ACCEPT 
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.153 --dport 1019 -j ACCEPT 
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.154 --dport 1019 -j ACCEPT 
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.155 --dport 1019 -j ACCEPT 

文件成功上传到 HDFS

至此我们可以看到客户端访问HDFS使用到的端口如下：

端口	作用
8020	NameNode元数据访问
88	Kerberos Server
749	Kerberos admin
1019	DataNode访问

端口限制参考：centos 利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法_centos如何禁止所有网络访问只开放某些ip-CSDN博客