https://wiki.linuxsa.org/index.php?action=history&feed=atom&title=Iptables%E6%A8%A1%E5%9D%97
Iptables模块 - 版本历史
2026-04-19T09:08:46Z
本wiki上该页面的版本历史
MediaWiki 1.43.1
https://wiki.linuxsa.org/index.php?title=Iptables%E6%A8%A1%E5%9D%97&diff=496&oldid=prev
Evan:导入1个版本
2019-10-14T13:48:53Z
<p>导入1个版本</p>
<p><b>新页面</b></p><div>==pre==<br />
<pre>为SALT开启防火墙配置<br />
http://docs.saltstack.cn/topics/tutorials/firewall.html<br />
http://yango.iteye.com/blog/2264641<br />
在主控端添加(所有 minion)TCP 4505,TCP 4506 的规则,而在被控端无须配置防火墙,原理是被控端直接与主控端的zeromp建立链接。 接收<br />
#20161021 写错端口 4050 哈哈 <br />
## is me ab <br />
iptables -I INPUT -s 192.168.1.199 -p tcp -m multiport --dports 4505,4506 -j ACCEPT<br />
<br />
#这个平时一般为了删除而查看 哈哈<br />
iptables -L -n --line-number |grep 21 # //--line-number可以显示规则序号,在删除的时候比较方<br />
iptables -D INPUT 3 # //删除input的第3条规则<br />
<br />
iptables -R INPUT 3 -j DROP # //将规则3改成DROP </pre><br />
<br />
==iptables模块==<br />
<pre>功能:被控主机的iptables支持<br />
<br />
示例:<br />
#在所有被控主机端追加(append)、插入(insert)iptables规则,其中INPUT为输入链<br />
##append<br />
salt '*' iptables.append filter INPUT rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'<br />
<br />
##insert <br />
salt '*' iptables.insert filter INPUT position=3 rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'<br />
#good<br />
salt '*' iptables.insert filter INPUT position=3 rule='-p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT'<br />
<br />
# 注意 一定要有 position 不然 Error: Position needs to be specified or use append (-A)<br />
salt '*' iptables.insert filter INPUT rule='-p tcp -m state --state NEW -m tcp --dport 222 -j ACCEPT'<br />
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<br />
<br />
<br />
<br />
#在所有被控主机删除指定链编号为3(position=3)或指定存在的规则<br />
salt '*' iptalbes.delete filter INPUT position=3<br />
salt '*' iptables.delete filter INPUT rule='-m state --state RELATEC,ESTABLISHED -j ACCEPT'<br />
<br />
<br />
<br />
<br />
#保存所有被控主机端主机规则到本地硬盘(/etc/sysconfig/iptables)<br />
salt '*' iptables.save /etc/sysconfig/iptables<br />
复制代码<br />
API调用:<br />
<br />
client.cmd('*','iptables.append',['filter','INPUT','rule=\'-p tcp --sport 80 -j ACCEPT\''])<br />
<br />
Saltstack系列3:Saltstack常用模块及API<br />
http://www.cnblogs.com/MacoLee/p/5753640.html </pre><br />
<br />
<br />
==也可以基于state管理==<br />
<pre><br />
mkdir -p /srv/salt/base/iptables<br />
init.sls内容如下,也是官网的例子<br />
<br />
httpd:<br />
iptables.append:<br />
- table: filter<br />
- chain: INPUT<br />
- jump: ACCEPT<br />
- match: state<br />
- connstate: NEW<br />
- dport: 1:65535<br />
- proto: tcp<br />
- sport: 1:65535<br />
- save: True<br />
top.sls内容如下:<br />
<br />
base:<br />
'*':<br />
- iptables<br />
<br />
salt '' state.sls iptables </pre> <br />
<br />
==参考==<br />
[[利用salt添加iptables rule]]<br />
[[category:saltstack]]</div>
Evan