设置iptables规则不生效

问题描述

设置iptables drop规则，使用以下命令查看到屏蔽49.89.x.xIP地址，检查规则并无其他错误但是不生效。

iptables -nl |grep 49.89.x.x   

问题原因

由于使用Docker服务，80端口是Docker自动创建的DNAT规则，这种DNAT规则需要到对应的Chain中配置。

解决方案

阿里云提醒您：

• 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。
• 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。
• 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。

您可以执行以下命令在Docker的Chain中添加拒绝规则。

iptables -I DOCKER -p tcp -m tcp -s 1.1.1.1 --dport 80 -j 

说明：其中1.1.1.1要替换成实际需要屏蔽的IP地址。

适用于

• 云服务器ECS