debian - iptables не работает для разрешения одного конкретного порта
Разве [не] имеет смысл заменить старую команду
serviceоберткой, которая вызываетservicectl[sic] вместо нее?Да, но [...] обертка могла бы справиться с этим, сделав переход к systemd более плавным для пользователей.
... что, как отмечали другие в комментариях, уже давно было сделано.
Команда
/usr/sbin/serviceв Debian 8 является частью пакета sysvinit-utils. Она находится там с 2009 года. Это специфичное для Debian дополнение к исходному пакету sysvinit, разработанное RedHat, и, как видно из сценария, она распознаёт как работу systemd, так и наличие заданий upstart, выдавая командыsystemctlиinitctl(через свои псевдонимы) соответственно. Это происходит с 2013 года.
service name actionдостаточно широко доступен даже на операционных системах, отличных от Linux. Он будет работать даже на большинстве BSD, поскольку у них тоже есть свои командыservice. В пакете nosh также есть команда shimservice, которая переводится какsystem-control action name. Но...
- ... если выйти за пределы этого общего подмножества, совместимость будет гораздо ниже.
- ... В OpenBSD нет команды
service.- ... Команды BSD
serviceимеют хорошо известные проблемы, о которых системные администраторы рассказывают истории десятилетиями.Включение и отключение служб - похожая ситуация. Хотя программа SuSE
chkconfig(доступная в комплекте для Debian и Ubuntu) очень отличается от программы Fedora (они даже написаны на совершенно разных языках программирования - один компилируемый, другой интерпретируемый), есть общий минимальныйchkconfig name actionсинтаксис, с action -onилиoff. Но ...
- ... опять же, за пределами этого общего подмножества совместимость меньше.
- ... на BSD нет
chkconfig, поскольку обычными инструментами для этого являютсяsysrcили более современные OpenBSDrcctl enableиrcctl disable. В пакете nosh естьchkconfigиrcctl, которые переводятся какsystem-control enable nameиsystem-control disable name.- ... только Fedora
chkconfigзнает о systemd и действует как shim дляsystemctl enableиsystemctl disable. SuSEchkconfigне имеет представления о systemd.Дальнейшее чтение
- "Скачать sysvinit-utils: Список файлов". sysvinit-utils package. Пакеты Debian 8.
script/service. init-system-helpers. Архив исходных текстов Debian.- Джонатан де Бойн Поллард (2015).
telinit. nosh Guide. 1.20. Программные продукты JdeBP.- Джонатан де Бойн Поллард (2015). Больше никаких проблем с командой
service. nosh pages. Программные средства JdeBP.- пакет chkconfig. Пакеты Debian 8.
- "Работает ли команда chkconfig с systemd?". systemd. Вики проекта Fedora.
- "Работает ли команда service с systemd?". systemd. Fedora project wiki.
- Douglas Barton (2012-12-11).
service. §8. Страницы руководства FreeBSD.- Antoine Jacoutot (2014-08-19). Представляем rcctl(8), простую утилиту для обслуживания rc.conf.local(8). . OpenBSD CVS.
- Джонатан де Бойн Поллард (2015). Пакет nosh. Программное обеспечение JdeBP.
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
Вам понадобится второе правило:
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
это правило разрешает пересылку всех пакетов, приходящих с порта 8080
в качестве рекомендации я бы добавил IP-адреса машин в правила, если вам нужно больше безопасности в вашей настройке, так как с этими 2 правилами кто-то может общаться с другим портом, если его исходный порт 8080.
поэтому мои окончательные правила будут:
iptables -A FORWARD -p tcp --sport 8080 -s IPOFMACHINEA -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -d IPOFMACHINEA -j ACCEPT
iptables -A FORWARD -p tcp --sport 8080 -s IPOFMACHINEB -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -d IPOFMACHINEB -j ACCEPTПоскольку вы не указали IP-адреса, вам придется заменить их.