防火墙屏蔽22端口的方式

屏蔽22端口后，如果有新的IP需要访问22端口，请提前增加白名单，否则无法访问。

 

集群开启防火墙后，443和22端口仍默认开启。若22端口需要屏蔽，执行以下操作：

1. 登录需要屏蔽22端口的节点，将/usr/lib/firewalld/services/ssh.xml删除

2. 重新加载防火墙，命令如下：

firewall-cmd --reload

3. 配置本地IP可以访问22端口，以101.12.52.100为例（执行下述命令时，需修改为实际IP），命令如下：

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="101.12.52.100" port protocol="tcp" port="22"  accept"

4. 重新加载防火墙，命令如下：

firewall-cmd --reload

5. 设置docker网络地址转发（172.17.0.0/16为docker默认所在网段），命令如下：

iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE