所以我有这些 iptables 规则
sudo iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 ACCEPT all -- 192.168.8.129 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 match-set k8s-nodes src
4 ACCEPT all -- 192.168.21.5 0.0.0.0/0
5 ACCEPT all -- 10.53.5.52 0.0.0.0/0
6 ACCEPT all -- 13.xx.xx.xx 0.0.0.0/0
7 ACCEPT all -- 147.xx.xx.xx 0.0.0.0/0
8 ACCEPT all -- 147.xx.xx.xx/28 0.0.0.0/0
9 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
10 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
11 ACCEPT all -- 136.xx.xx.xx 0.0.0.0/0
12 ACCEPT all -- 10.67.0.13 0.0.0.0/0
这些规则正在做我们想要的事情,但是我很困惑为什么规则 10 不允许一切......因为它“接受任何到任何”,但是当从其他规则中未列出的源 IP 进行检查时,无法访问。我认为这与设置 INPUT 链有关,drop
但我不确定。有人可以解释一下吗?谢谢
编辑1
按照评论中的要求。
iptables -nv -L --line-numbers
[...]
10 94M 7780M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
答案1
如果您iptables -n -L
此时运行,您将无法获得所有相关信息。
iptables -nv -L
显示规则匹配的数据包数量(这将表明某个规则匹配所有内容,因为之后的所有规则的计数器都为零)以及输入或输出接口、端口号等附加条件。
在您的情况下,看似包罗万象的规则仅限于本地流量。这是一个典型的配置。