Adăugarea unei reguli la iptables înseamnă că are efect imediat?

alerg sudo iptables -A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT în bash și apoi a încercat să se conecteze la acea mașină printr-o altă mașină de pe aceeași LAN / subrețea prin portul 2222 cu PuTTY și nu a funcționat.

Poate că trebuie să repornesc iptables după ce adaug regula pentru ca aceasta să aibă efect? Dacă da, cum aș face asta?

Iată rezultatul lui iptables -S:

-P ACCEPT INTRARE
-P PĂDURA ÎNTÂMPRE
-P ACCEPT IEȘIRE
-N DOCKER
-N DOCKER-IZOLARE-ETAPA-1
-N DOCKER-ETAPA DE IZOLARE-2
-N DOCKER-UTILIZATOR
-A INTRARE -p tcp -m tcp --dport 2222 -j ACCEPT
-UN FORWARD -j DOCKER-UTILIZATOR
-A ÎNAINTE -j DOCKER-ETAPA DE IZOLARE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A ÎNTÂMPRE -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-4f5770ea8905 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-4f5770ea8905 -j DOCKER
-A FORWARD -i br-4f5770ea8905 ! -o br-4f5770ea8905 -j ACCEPT
-A FORWARD -i br-4f5770ea8905 -o br-4f5770ea8905 -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 8080 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 443 -j ACCEPT
-A DOCKER -d 172.18.0.7/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -d 172.18.0.8/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -d 172.18.0.10/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-4f5770ea8905 ! -o br-4f5770ea8905 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-IZOLARE-ETAPA-1 -j RETURNARE
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-4f5770ea8905 -j DROP
-A DOCKER-IZOLARE-ETAPA-2 -j RETURNARE
-UN DOCKER-USER -j RETURN

Iată rezultatul sudo iptables --line-numbers -L INPUT:

INTRARE în lanț (politica ACCEPT)
num target prot opt ​​sursă destinație
1 ACCEPT tcp -- oriunde oriunde tcp dpt:2222

Da, adăugarea regulilor prin comanda iptables are efect imediat.

Probabil că doriți să adăugați o regulă ACCEPT pentru port, deoarece doriți să înlocuiți regula care blochează toate sau majoritatea porturilor.

Cu toate acestea, ați adăugat regula cu -A care ar atașa regula la masă. Deoarece aveți deja o regulă de blocare (folosind ceva precum DROP sau REJECT), noua regulă va fi adăugată după aceea, făcând-o ineficientă.

Dacă doriți ca acest lucru să funcționeze, trebuie fie să introduceți regula (-I #) înaintea regulii de blocare, fie să adăugați regula în poziția corectă într-un fișier de configurare și să reîncărcați toate regulile. (Sau folosiți ceva de genul ufw sau firewalld pentru a face acest lucru pentru dvs.). Puteți obține o listă numerotată de reguli cu iptables --line-numbers -L INPUT și introduceți noua regulă la sau înainte de poziția regulii de blocare.

Dacă presupunerea că aveți o regulă de blocare este greșită, atunci trebuie să vă întoarceți și să verificați dacă ceva are portul deschis. Poți să folosești netstat -nl | grep 2222 sau ss -nlt | grep 2222 iar dacă nu este listat, atunci nu se ascultă nimic pe port.

Din rezultatul pe care l-ați adăugat la întrebarea dvs., tabelul INPUT este practic gol (cu excepția regulii dvs. de acceptare) și -P ACCEPT INTRARE spune acceptați orice nu se potrivește cu regulile din tabelul de intrare.