2.9. 阻止对特定主机接口上 NodePort 服务的外部访问

流程

1. 运行以下命令，将 NODEPORT 变量更改为分配给 Kubernetes NodePort 服务的主机端口号：

   # export NODEPORT=30700

2. 将 INTERFACE_IP 值从您要阻止的主机接口更改为 IP 地址。例如：

   # export INTERFACE_IP=192.168.150.33

3. 在 nat 表 PREROUTING 链中插入一条新规则，以丢弃与目标端口和 IP 地址匹配的所有数据包。例如：

   $ sudo nft -a insert rule ip nat PREROUTING tcp dport $NODEPORT ip daddr $INTERFACE_IP drop

4. 运行以下命令列出新规则：

   $ sudo nft -a list chain ip nat PREROUTING
   table ip nat {
   	chain PREROUTING { # handle 1
   		type nat hook prerouting priority dstnat; policy accept;
   		tcp dport 30700 ip daddr 192.168.150.33 drop # handle 134
   		counter packets 108 bytes 18074 jump OVN-KUBE-ETP # handle 116
   		counter packets 108 bytes 18074 jump OVN-KUBE-EXTERNALIP # handle 114
   		counter packets 108 bytes 18074 jump OVN-KUBE-NODEPORT # handle 112
   	}
   }

   注意

   请记录下新添加的规则的 handle 号。您需要删除以下步骤中的 handle 号。

5. 使用以下示例命令删除自定义规则：

   $ sudo nft -a delete rule ip nat PREROUTING handle 134