означает ли добавление правила в iptables, что оно вступает в силу немедленно?

я бегу sudo iptables -A INPUT -p tcp -m tcp --dport 2222 -j ПРИНЯТЬ в bash, а затем попытался подключиться к этой машине через другую машину в той же локальной сети / подсети через порт 2222 с помощью PuTTY, и это не сработало.

Может быть, мне нужно перезапустить iptables после того, как я добавлю правило, чтобы оно вступило в силу? Если да, то как бы я это сделал?

Вот результат iptables -S:

-P ВВОД ПРИНЯТЬ
-P ПАДЕНИЕ ВПЕРЕД
-P ВЫВОД ПРИНЯТЬ
-N ДОКЕР
-N DOCKER-ИЗОЛЯЦИЯ-ЭТАП-1
-N DOCKER-ИЗОЛЯЦИЯ-СТАДИЯ-2
-N DOCKER-ПОЛЬЗОВАТЕЛЬ
-A ВХОД -p tcp -m tcp --dport 2222 -j ПРИНЯТЬ
-A FORWARD -j DOCKER-USER
-A ВПЕРЕД -j DOCKER-ИЗОЛЯЦИЯ-ЭТАП-1
-A FORWARD -o docker0 -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ВПЕРЕД -o docker0 -j DOCKER
-A ВПЕРЕД -i docker0 ! -o docker0 -j ПРИНЯТЬ
-A ВПЕРЕД -i docker0 -o docker0 -j ПРИНЯТЬ
-A FORWARD -o br-4f5770ea8905 -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ВПЕРЕД -o br-4f5770ea8905 -j ДОКЕР
-A ВПЕРЕД -i br-4f5770ea8905 ! -o br-4f5770ea8905 -j ПРИНЯТЬ
-A ВПЕРЕД -i br-4f5770ea8905 -o br-4f5770ea8905 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.2/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 8080 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 443 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.7/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 6379 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.8/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.10/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 3306 -j ПРИНЯТЬ
-A ДОКЕР -d 172.18.0.3/32 ! -i br-4f5770ea8905 -o br-4f5770ea8905 -p tcp -m tcp --dport 80 -j ПРИНЯТЬ
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-4f5770ea8905 ! -o br-4f5770ea8905 -j DOCKER-ИЗОЛЯЦИЯ-ЭТАП-2
-A DOCKER-ISOLATION-STAGE-1 -j ВОЗВРАТ
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-4f5770ea8905 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j ВОЗВРАТ
-A DOCKER-USER -j ВОЗВРАТ

Вот результат sudo iptables --line-numbers -L ВВОД:

Сеть INPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
1 ПРИНЯТЬ tcp -- где угодно tcp dpt:2222

Да, добавление правил с помощью команды iptables вступает в силу немедленно.

Предположительно, вы хотите добавить правило ACCEPT для порта, потому что вы хотите переопределить правило, которое блокирует все или большинство портов.

Однако вы добавили правило с -А который добавит правило в таблицу. Поскольку у вас уже есть блокирующее правило (например, DROP или REJECT), после этого будет добавлено новое правило, что сделает его неэффективным.

Если вы хотите, чтобы это работало, вам нужно либо вставить правило (-I #) перед блокирующим правилом, либо добавить правило в правильную позицию в файле конфигурации и перезагрузить все правила. (Или используйте что-то вроде ufw или firewalld, чтобы сделать это за вас). Вы можете получить пронумерованный список правил с помощью iptables --line-numbers -L ВВОД и вставьте новое правило в позицию вашего правила блокировки или перед ней.

Если предположение, что у вас есть блокирующее правило, неверно, вам нужно вернуться и проверить, не открыл ли что-нибудь порт. Ты можешь использовать нетстат -nl | группа 2222 или же сс-нлт | группа 2222 а если его нет в списке, то порт ничего не слушает.

Из вывода, который вы добавили к своему вопросу, таблица INPUT в основном пуста (за исключением вашего правила принятия) и -P ВВОД ПРИНЯТЬ говорит принять все, что не соответствует правилам во входной таблице.