openstack服务节点安装配置iptables防火墙

centos7默认防火墙是firewalld,但为了能够和安全防护软件deflate协同工作,需要将firewalld防火墙禁用,安装并启用iptables防火墙

  1. yum安装iptables防火墙

    yum install iptables -y

  2. 修改iptables配置文件以允许openstack服务(加入openstack各服务端口)

    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8776 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8774 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8773 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8775 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 5900:5999 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 6080 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 6081 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 6082 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 35357 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 9292 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 9191 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 9696 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 5672 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 161 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
    -A INPUT -p tcp -m udp --dport 53 -j ACCEPT
    #-A INPUT -j REJECT --reject-with icmp-host-prohibited
    #-A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT
  3. 同理修改compute1和compute2的iptables
  4. 关闭systemctl防火墙并设置iptables防火墙开机自启动

    systemctl stop firewalld
    systemctl start iptables
    systemctl status iptables
    systemctl enable iptables

参考链接
https://docs.openstack.org/install-guide/firewalls-default-ports.html

可以参照官网链接添加相应的openstack服务端口号以允许相应的服务。

最后编辑:2020年11月17日 ©著作权归作者所有

发表评论

正在加载 Emoji