iptables 配置问题

Posted 2023-05-09

这条

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
这条规则是什么意思的，我大概知道是tcp协议目标是22端口，状态是NEW的的通过
但是不理解的是，第一个-m是使用state模块，--state NEW是状态时新连接，后面的-m tcp --dport 22 什么意思，为什么要这样写而不是
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
这两个有什么区别？？
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW

-m tcp 或 -p tcp 都会加载模块tcp，命令形式不同但效果是一样的。

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 #如果一个包的状态是新的且TCP目标端口是22 则允许通过
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW #如果一个包TCP目标端口是22及状态是新的，则允许通过

对于包的判断条件顺序不同，实际上结果一样。 参考技术A 能ping通IP地址，却不能ping通域名。这表示你本机没有设置DNS服务器的地址或没有设对，检查一下。
这样可以么？

阿里云ECS配置iptables

在阿里云ECS安装flannel、docker、kubernetes后，在多个node运行docker run -it bash，然后ping互相的ip，发现docker容器间网络没通，发现宿主机的iptables配置有问题。原来FORWARD链默认配置为DROP

iptables -L -n
Chain FORWARD (policy DROP)

更新FORWARD链为ACCEPT

iptables --policy FORWARD ACCEPT