그래서 저는 이러한 iptables 규칙을 가지고 있습니다.
sudo iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 ACCEPT all -- 192.168.8.129 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 match-set k8s-nodes src
4 ACCEPT all -- 192.168.21.5 0.0.0.0/0
5 ACCEPT all -- 10.53.5.52 0.0.0.0/0
6 ACCEPT all -- 13.xx.xx.xx 0.0.0.0/0
7 ACCEPT all -- 147.xx.xx.xx 0.0.0.0/0
8 ACCEPT all -- 147.xx.xx.xx/28 0.0.0.0/0
9 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
10 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
11 ACCEPT all -- 136.xx.xx.xx 0.0.0.0/0
12 ACCEPT all -- 10.67.0.13 0.0.0.0/0
이러한 규칙은 우리가 원하는 대로 작동하지만 규칙 10이 모든 것을 허용하지 않는 이유가 무엇인지 혼란스럽습니다. "모든 항목을 허용"하지만 다른 규칙에 나열되지 않은 소스 IP에서 확인할 때 액세스할 수 없기 때문입니다. 나는 이것이 INPUT 체인 설정과 관련이 있다고 생각 drop
하지만 확실하지 않습니다. 누군가 이것을 설명할 수 있나요? 감사해요
편집 1
댓글에서 요청한대로.
iptables -nv -L --line-numbers
[...]
10 94M 7780M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
답변1
이 시점에서 실행 하면 iptables -n -L
관련 정보를 모두 얻을 수 없습니다.
iptables -nv -L
입력 또는 출력 인터페이스, 포트 번호 등과 같은 추가 기준과 함께 규칙과 일치하는 패킷 수를 표시합니다(모든 후속 규칙의 카운터는 0이므로 규칙이 모든 항목과 일치함을 나타냄).
귀하의 경우 겉보기에 포괄적인 규칙은 로컬 트래픽으로 제한됩니다. 이는 일반적인 구성입니다.