目录
编辑
一、实操背景
二、iptables 简介
三、模拟操作
一、实操背景
背景: 在客户有外网的服务器需要访问内网大数据集群HDFS,使用iptable模拟测试需要开放的端口。
二、iptables 简介
具体介绍看文章: 【Linux】Iptables 详解与实战案例_linux iptable-CSDN博客
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。
规则链名包括(也被称为五个钩子函数(hook functions)):
- INPUT链 :处理输入数据包。
- OUTPUT链 :处理输出数据包。
- FORWARD链 :处理转发数据包。
- PREROUTING链 :用于目标地址转换(DNAT)。
- POSTOUTING链 :用于源地址转换(SNAT)。
三、模拟操作
对某台HDFS Client服务器禁止所有的INPUT FORWARD OUTPUT 只对某些端口开放。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP开启 22端口 可以使用远程工具连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
开启8020 ,88, 749 端口
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.154 --dport 8020 -j ACCEPTiptables -I OUTPUT -s 192.168.2.155 -p udp -d 192.168.2.152 --dport 88 -j ACCEPT
iptables -I OUTPUT -s 192.168.2.155 -p udp -d 192.168.2.152 --dport 749 -j ACCEPT 上传文件报错 datanode 1019端口
继续放开 DataNode 1019端口
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.152 --dport 1019 -j ACCEPT
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.153 --dport 1019 -j ACCEPT
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.154 --dport 1019 -j ACCEPT
iptables -I OUTPUT -s 192.168.2.155 -p tcp -d 192.168.2.155 --dport 1019 -j ACCEPT
文件成功上传到 HDFS
至此我们可以看到客户端访问HDFS使用到的端口如下:
| 端口 | 作用 |
| 8020 | NameNode元数据访问 |
| 88 | Kerberos Server |
| 749 | Kerberos admin |
| 1019 | DataNode访问 |
端口限制参考:centos 利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法_centos如何禁止所有网络访问只开放某些ip-CSDN博客
