Try   HackMD

Linux save iptables on Docker Host Environment - 在安裝了 Docker 的環境處理 iptables 的儲存

tags: blog

iptables 是在 Linux 系統上實用的防火牆、NAT、封包管理系統,但如果需要在複雜的環境當中使用 iptables ,並且將 iptables 的規則保存的話,就需要使用一些技巧

Context

以往在 Linux 當中,我們可以透過 iptables 來當作防火牆使用,只要透過 iptables 中預設的 filter tables,即可做到封包的過濾功能。

但 iptables 的資料是於執行時新增規則,如果想要將規則存檔,並於開機時自動載入的話,我們就需要透過 iptables-saveiptables-restore 這兩個指令來完成。

根據 Debian Wiki[1] 中提到的方法,可以使用 iptables > /etc/iptables.up.rules 的方式將 iptables 的 rule 匯出至檔案,再透過 iptables < /etc/iptable.up.rules 指令將規則檔案還原。

文中也提到,可以在 /etc/network/if-pre-up.d/ 路徑中,放置 bash 檔案,這樣就會在網卡啟動前,呼叫 iptables-restore 指令,載入 iptables 的規則。

Problem

問題來了,傳統作法中,所使用的 iptables-save 指令,會將目前所有的規則匯出,但是如果主機環境中有安裝 Docker 的話, Docker 會建立許多橋接器 (Bridge) ,並透過 iptables 的 filter 、 nat 這兩張表,建立 container 的網路與連線關係。

而 Docker 的環境不清楚他會在何時啟動,並更改 iptables 的狀況下,如果冒然執行 iptables-restore 指令,勢必會破壞原先 docker 所建立的規則。

Solution

如果無法透過 iptables-restore 指令直接匯入規則檔的話,還可以透過另一個方式:使用 iptables 指令動態新增規則。

不過這邊要注意的是,要注意目前 iptables 中的規則是否已經存在,免得重複新增規則。

使用 iptables 的 check 指令可以根據回傳值得之規則是否存在

iptables [-t table] -C chain rule-specification'

一樣將 bash 檔案寫在 /etc/network/if-pre-up.d/ 中,
透過 if 判斷欲新增的規則是否已經存在於 iptables 中,
如果沒有找到的話,再使用 iptables 指令動態增加新的規則。

以下是 bash 的範例,透過 function 的方式判斷規則存不存在,不存在則新增規則

#!/bin/sh

# check iptables rule specification is exist,
# if not add it
check_and_add_iptables()
{
    RULE_SPEC=$@
    iptables -C $RULE_SPEC > /dev/null 2>&1
    EXIST=$?
    if [ $EXIST -ne 0 ]; then
        iptables -A $@
    fi
}

check_and_add_iptables INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
check_and_add_iptables INPUT -p tcp --dport 22 -j DROP

Conclusion

iptables 是一個很好用的防火牆軟體,不過在一些複雜的環境當中,無法單純使用 restore 指令套用規則,就得使用動態增加的方式,使用動態增加的方式又得顧慮到該指令重複執行會造成的影響,所以還需要透過一些 test 的方式判斷目前的環境 (Context) 是否可以新增規則。

References

  1. https://wiki.debian.org/iptables ↩︎

Last changed by 
BoHong Li
0
2
1225

Read more

奇耙的 JS 程式碼 - else statement

else &#x5F8C;&#x9762;&#x53EF;&#x4EE5;&#x63A5;&#x5F88;&#x591A;&#x6771;&#x897F;.. &#x6839;&#x64DA; ECMAScript 2020 &#x7684;&#x5B9A;&#x7FA9;&#xFF1A; &#x4EE5;&#x4E0B;&#x7A0B;&#x5F0F;&#x78BC;&#x5408;&#x6CD5;&#xFF1A; else &#x5F8C;&#x9762;&#x63A5; for const a = [1,2,3] if (!Array.isArray(a)) { console.log(&apos;...&apos;); // do something...

Nov 3, 2020
在開發 Express 網站時,如何不重開伺服器,重新渲染 view ?

&#x5728;&#x4F7F;&#x7528; Express &#x642D;&#x914D; view engine &#x6642;&#xFF0C;&#x70BA;&#x4E86;&#x907F;&#x514D;&#x6BCF;&#x6B21;&#x9700;&#x8981;&#x6E32;&#x67D3; view&#xFF0C;&#x5C0E;&#x81F4;&#x6548;&#x80FD;&#x904E;&#x4F4E;&#xFF0C;&#x56E0;&#x6B64; express &#x5167;&#x6709;&#x5FEB;&#x53D6;&#x6A5F;&#x5236;&#xFF0C;&#x7576; view &#x5DF2;&#x7D93;&#x88AB;&#x6E32;&#x67D3;&#x904E;&#xFF0C;&#x4E14;&#x5728;&#x5FEB;&#x53D6;&#x4E2D;&#x6709;&#x5FEB;&#x53D6;&#xFF0C;&#x5C31;&#x6703;&#x76F4;&#x63A5;&#x4F7F;&#x7528;&#x5FEB;&#x53D6;&#x4E2D;&#x7684;&#x7D50;&#x679C;&#x3002; &#x9019;&#x6642;&#x5019;&#x53EF;&#x4EE5;&#x95DC;&#x9589; express &#x7684; view cache &#x529F;&#x80FD;&#xFF0C;&#x9019;&#x6A23;&#x5C31;&#x80FD;&#x5728;&#x7DE8;&#x8F2F; view file &#x5F8C;&#xFF0C;&#x76F4;&#x63A5; reload &#x5C31;&#x80FD;&#x770B;&#x5230;&#x7D50;&#x679C;&#xFF0C;&#x4E0D;&#x9700;&#x8981;&#x91CD;&#x958B; server&#x3002; &#x95DC;&#x9589; view &#x7684;&#x65B9;&#x5F0F;&#x5F88;&#x7C21;&#x55AE;&#xFF0C;&#x53EA;&#x8981;&#x900F;&#x904E; app.disable &#x95DC;&#x9589; view cache &#x7684;&#x8A2D;&#x5B9A;&#x5373;&#x53EF;&#x3002; &quot;use strict&quot;; const express = require(&apos;express&apos;); const app = express();

Apr 17, 2020
Docker for Mac 硬碟大小調整

:::warning &#x6B64;&#x7BC7;&#x6587;&#x7AE0;&#x8A0E;&#x8AD6;&#x7684; Docker &#x70BA; Linux Container&#xFF0C;&#x6709;&#x4E9B;&#x5167;&#x5BB9;&#x53EF;&#x80FD;&#x4E0D;&#x9069;&#x7528;&#x65BC; Windows Container &#x6280;&#x8853;&#x3002; ::: &#x70BA;&#x4EC0;&#x9EBC; Docker for Mac &#x6703;&#x9047;&#x5230;&#x786C;&#x789F;&#x7A7A;&#x9593;&#x4E0D;&#x8DB3;&#x7684;&#x554F;&#x984C;? Docker &#x7684;&#x6280;&#x8853;&#x662F;&#x57FA;&#x65BC; Linux Namespaces &#x8207; cgroup &#x7B49;&#x529F;&#x80FD;&#x505A;&#x908F;&#x8F2F;&#x9694;&#x96E2;&#xFF0C;&#x4E26;&#x5728;&#x9694;&#x96E2;&#x7684;&#x74B0;&#x5883;&#x4E2D;&#x900F;&#x904E;&#x540C;&#x4E00;&#x500B; Linux Kernel &#x57F7;&#x884C;&#x7A0B;&#x5F0F;&#xFF0C;&#x56E0;&#x6B64;&#x8981;&#x57F7;&#x884C; Docker &#x7684;&#x9996;&#x8981;&#x689D;&#x4EF6;&#x5C31;&#x662F;&#x9700;&#x8981;&#x6709;&#x57F7;&#x884C; Linux distribution &#x7684;&#x6A5F;&#x5668;&#x3002; &#x800C; Docker &#x516C;&#x53F8;&#x70BA;&#x4E86;&#x666E;&#x53CA; Docker &#x6280;&#x8853;&#xFF0C;&#x63A8;&#x51FA;&#x4E86;&#x5728;&#x5404;&#x500B;&#x4E3B;&#x6D41;&#x958B;&#x767C;&#x5E73;&#x53F0;&#x4E0A; (Windows, macOS) &#x900F;&#x904E;&#x904B;&#x884C; Linux &#x865B;&#x64EC;&#x6A5F;&#x7684;&#x65B9;&#x5F0F;&#x4F86;&#x6EFF;&#x8DB3;&#x8DE8;&#x5E73;&#x53F0;&#x57F7;&#x884C; Docker &#x7684;&#x9700;&#x6C42;&#x3002; Docker for Mac &#x7684;&#x539F;&#x7406;&#x662F;&#x5728; macOS &#x4E0A;&#x4F7F;&#x7528; xhyve &#x57F7;&#x884C;&#x865B;&#x64EC;&#x6A5F; ( xhyve &#x662F;&#x900F;&#x904E; macOS &#x539F;&#x751F;&#x7684;&#x865B;&#x64EC;&#x5316;&#x6280;&#x8853; Hypervisor.framework &#x57F7;&#x884C;&#x865B;&#x64EC;&#x6A5F;&#x7684;&#x8EDF;&#x9AD4;)&#x3002;&#x800C;&#x865B;&#x64EC;&#x6A5F;&#x7684;&#x4F5C;&#x696D;&#x7CFB;&#x7D71;&#x662F;&#x4F7F;&#x7528; Docker &#x63A8;&#x51FA;&#x7684; Linux Kit &#x7522;&#x751F;&#x7684;&#x4F5C;&#x696D;&#x7CFB;&#x7D71;&#x3002;

Feb 14, 2020
在 Kubernetes 中刪除 namespace 的時候卡在 `Terminating` 無法刪除

Context &#x5728; Kubernetes &#x4E2D;&#x522A;&#x9664; Namespae &#x7684;&#x64CD;&#x4F5C;&#x901A;&#x5E38;&#x5728; 5 &#x5206;&#x9418;&#x5167;&#x6703;&#x5B8C;&#x6210; (&#x5982;&#x679C; namespace &#x4E2D;&#x6C92;&#x6709;&#x592A;&#x591A; resources &#x7684;&#x8A71;)&#xFF0C;&#x4F46;&#x6709;&#x6642;&#x5019;&#x6703;&#x767C;&#x751F;&#x8D85;&#x904E; 1 &#x5C0F;&#x6642; Namespace &#x7684;&#x72C0;&#x614B;&#x9084;&#x5728; Terminating &#x7684;&#x72C0;&#x614B;&#xFF08;&#x5982;&#x4E0B;&#x5716;&#xFF09;&#xFF0C;&#x67E5;&#x770B; GitHub &#x4E2D;&#x76F8;&#x95DC;&#x7684; Issue [^k8s-issue-1]&#xFF0C;&#x767C;&#x73FE;&#x539F;&#x56E0;&#x53EF;&#x80FD;&#x5C31;&#x662F; Kubernetes &#x522A;&#x9664; Namespace &#x7684;&#x6D41;&#x7A0B;&#x51FA;&#x4E86;&#x554F;&#x984C;&#xFF0C;&#x5C0E;&#x81F4;&#x6C92;&#x6709;&#x6B63;&#x78BA;&#x57F7;&#x884C; finalizer&#x3002; &#x9019;&#x6642;&#x53EF;&#x4EE5;&#x4F7F;&#x7528; kubectl get namespaces &lt;NAMESPACE&gt; -o yaml &#x67E5;&#x770B;&#x8A72; namespace &#x4E2D;&#x7684; finalizers &#x662F;&#x5426;&#x6709;&#x8A2D;&#x5B9A;&#x6771;&#x897F;&#xFF0C;&#x901A;&#x5E38;&#x90FD;&#x662F;&#x9019;&#x500B;&#x5F15;&#x8D77; namespace &#x7121;&#x6CD5;&#x6B63;&#x5E38;&#x522A;&#x9664;&#x3002; Solution &#x9047;&#x5230;&#x9019;&#x4EF6;&#x4E8B;&#xFF0C;&#x53EF;&#x4EE5;&#x624B;&#x52D5;&#x4FEE;&#x6539; finalizers&#xFF0C;&#x5C07; finalizers &#x522A;&#x9664;&#xFF0C;&#x4F46;&#x522A;&#x9664; finalizers &#x6C92;&#x8FA6;&#x6CD5;&#x900F;&#x904E; kubectl edit &#x6307;&#x4EE4;&#x5B8C;&#x6210;&#xFF0C;&#x4E5F;&#x7121;&#x6CD5;&#x900F;&#x904E; kubectl apply apply &#x65B0;&#x7684; resource configurations&#x3002; &#x6839;&#x64DA; issue &#x5167;&#x7684;&#x8AAA;&#x660E;&#xFF0C;&#x53EF;&#x4EE5;&#x900F;&#x904E; kubernetes &#x7684; Update finalize of a Namespace API &#x4FEE;&#x6539; finalizers &#x7684;&#x503C;&#x3002;

Feb 14, 2020
Read more from BoHong Li
Published on HackMD