对iptables进行常规操作

一、梳理允许访问的IP地址
1、ES客户端IP地址

192.168.32.120
192.168.32.121

2、集群中节点的IP地址

192.168.32.122
192.168.32.123
192.168.32.124

二、登录ES主机(ubantu为例)，执行以下命令

# 创建iptables策略保存路径
mkdir -p /etc/iptables

# 允许集群内主机IP访问本机9200端口
iptables -A INPUT -s 192.168.32.123 -p tcp --dport 9200 -j ACCEPT
iptables -A INPUT -s 192.168.32.124 -p tcp --dport 9200 -j ACCEPT
# 允许ES客户端IP地址访问本机9200端口
iptables -A INPUT -s 192.168.32.120 -p tcp --dport 9200 -j ACCEPT
iptables -A INPUT -s 192.168.32.121 -p tcp --dport 9200 -j ACCEPT

# 禁止除上面策略外的所有IP访问本机9200端口（最后一条）
iptables -A INPUT -p tcp --dport 9200 -j REJECT

# 如果要在以上策略基本上新增iptables策略，使用-I参数
iptables -I INPUT -s 192.168.32.121 -p tcp --dport 9200 -j ACCEPT

# 查看已添加的iptables规则
iptables -L -n --line-numbers
# 删除已添加的某条iptables规则
iptables -D INPUT 1

#保存已添加的iptables规则到本地文件路径
iptables-save > /etc/iptables/iptables.rules
#从已保存的文件中恢复iptables规则
iptables-restore < /etc/iptables/iptables.rules
#配置开机后自动执行加载iptables策略文件

编辑iptables后

输入完iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 后

执行iptables-save

注意：iptables-save是连在一起的，是一个命令，不是参数
iptables-save 仅仅是列出当前设置，并不是将配置保存
若你用的是 RedHat 系列，应该使用 service iptables save 保存，用 chkconfig iptables on 实现开机启动启用

若不是 RedHat 系列，可以使用下面方法手动保存/恢复配置

保存
iptables-save > /root/iptables.conf
恢复
iptables-restore < /root/iptables.conf