iptables限制宿主机跟Docker IP和端口访问(安全整改)

最新推荐文章于 2025-06-07 07:05:31 发布
最新推荐文章于 2025-06-07 07:05:31 发布
阅读量3k 收藏 11
点赞数 5
CC 4.0 BY-SA版权
文章标签: docker tcp/ip 安全 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66406345/article/details/137371812
本文详细介绍了iptables命令的使用,包括查看版本、配置文件管理、列出和操作防火墙规则,以及针对宿主机网络限制、Docker网络访问控制的具体示例。还讨论了如何限制特定IP地址、端口和Docker容器的网络访问策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、常用命令

查看版本:
[root@iptables-server ~]# iptables -V 
iptables v1.4.21
配置文件:
 /etc/sysconfig/iptables-config 
 /etc/sysconfig/iptables   #记录规则文件	

#查看防火墙规则,显示规则行号
[root@iptables-server ~]# iptables -nL --line-number  
##指定行号删除,需要注意删除第一条规则后原来的第二条规则行号就会变成1,多次执行切勿删错
[root@iptables-server ~]# iptables -D INPUT 1   
# 规则保存
[root@iptables-server ~]# iptables-save
# service iptables save
# iptables-save > /etc/sysconfig/iptables
# iptables-restore < /etc/sysconfig/iptables
--参数解释
-L:列出一个链或所有链中的规则信息
-n:以数字形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
--line-numbers:查看规则时,显示规则的序号(方便之处,通过需要删除规则-D INPUT 1
-F:清空所有的规则(-X是清理自定义的链,用的少;-Z清零规则序号)
-D:删除链内指定序号(或内容)的一条规则
-P:为指定的链设置默认规则
-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则
-t: 指定表名,默认filter表
.... 更多参数可通过--help查看

二、宿主机网络限制

背景:漏洞扫描发现任意用户对目标服务通过访问URL获取内容或者单纯的想要限制/允许某个Ip或者某个网段进行访问 

 1、任意用户对目标服务通过访问URL获取内容


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    

      

        

            

              
                
                  Leon_start
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
docker小技能:容器IP宿主机IP一致( Nacos服务注册ip为内网ip,导致Fegin无法根据服务名访问 )、Dockerfile

				
			

			

				

					专注于计算机研发知识和资讯分享
				

				

					11-13
					
					1755
					
				

			

		

		

			
				
在 Linux 系统中,有两个特殊的进程,一个是 pid 为 1 的 /sbin/init 进程,另一个是 pid 为 2 的 kthreadd 进程,这两个进程都是被 Linux 中的上帝进程 idle 创建出来的,其中前者负责执行内核的一部分初始化工作系统配置,也会创建一些类似 getty 的注册进程,而后者负责管理调度其他的内核进程。容器镜像的区别就在于,所有的镜像都是只读的,而每一个容器其实等于镜像加上一个可读写的层,也就是同一个镜像可以对应多个容器。镜像: 跨平台、可移植的程序+环境包。

			
		

	



                

            
              



	

		

			

				
					
iptables限制Docker IP端口访问

				
			

			

				

					SpringLei
				

				

					07-25
					
					1万+
					
				

			

		

		

			
				
等保整改安全加固时,使用iptabels限制docker端口不生效,限制docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。...............

			
		

	



              


  
              

                


	

		

			

				
					
iptables限制开放端口访问

				
			

			

				

					weixin_46941625的博客
				

				

					04-15
					
					1042
					
				

			

		

		

			
				
说明:6台服务器是一个k8s集群,8200端口是service暴露端口,转发到集群所有节点,所以iptables规则所有服务器都要执行。#开放所有node节点源地址10.165.10.x访问集群内的8200端口。#先单独对需要访问22的集群节点放行(一定得多开几个窗口)#在node节点上禁止所有IP访问8200端口。#以上步骤需要在集群内的所有节点执行一次。修复Es相关漏洞(8200端口)#然后屏蔽所有对22端口访问。###限制开放某个网段访问。###限制8200端口访问。####禁止22端口访问

			
		

	





	

		

			

				
					
Docker与NFTables冲突终极解决方案

					
最新发布

				
			

			

				

					百态老人的博客
				

				

					06-07
					
					717
					
				

			

		

		

			
				
在启用了 NFTables 的 Linux 系统中运行 Docker 时,常因 Docker 默认使用 iptables 管理网络规则而导致冲突(如端口映射失效、容器网络中断或防火墙规则被覆盖)。通过上述流程,可在保留 NFTables 强大功能的同时,确保 Docker 容器网络稳定可控。:阻止 Docker 自动操作 iptables,避免规则冲突。编辑 NFTables 配置文件(如。

			
		

	



		

			
		



	

		

			

				
					
通过iptables限制docker 容器的运行端口

				
			

			

				

					qq_30381077的博客
				

				

					04-28
					
					1890
					
				

			

		

		

			
				
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。外部访问的数据包,其物理输入网口(如ens192),它是对外通信的网口。我们可以在此,插入只允许某个网络访问,或某个网络不能访问的规则。主机nacos容器的默认访问端口为8848,首先要禁止所有IP访问docker的8848端口。配置允许访问IP,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)#显示DOCKER-USER的链中的规则信息。#删除DOCKER-USER的链中的默认规则。#删除RETURN的规则。

			
		

	





	

		

			

				
					
【Linux】简单使用 iptables 限制端口访问

				
			

			

				

					Jweilai
				

				

					11-25
					
					9647
					
				

			

		

		

			
				
使用 iptables -L 查看当前环境的 iptables 规则

插入禁止访问的规则

对特定 IP 解除限制

最后再来查看规则添加情况

iptables 的规则是从上往下依次执行的,
如上面的例子,先ACCEPT(接受)192.168.157.12对8443端口访问;
再拒绝所有的其它 IP 对8443端口访问


...

			
		

	





	

		

			

				
					
iptables屏蔽ip某个端口访问

				
			

			

				

					喝醉酒的小白
				

				

					07-15
					
					6696
					
				

			

		

		

			
				
iptables屏蔽ip某个端口访问

			
		

	





	

		

			

				
					
通过iptables限制docker容器端口

				
			

			

				

					
				

				

					06-24
					
					2283
					
				

			

		

		

			
				
如何限制docker暴露的对外访问端口

docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。
# 查询DOCKER表并显示规则编号
iptables -L DOCKER -n --line-number 
# 修改对应编号的iptables 规则,这里添加了允许访问ip限制...

			
		

	





	

		

			

				
					
iptables限制docker端口禁止某台主机访问(使用DOCKERraw表的PREROUTING链)

				
			

			

				

					qq_42249813的博客
				

				

					10-28
					
					1268
					
				

			

		

		

			
				
两种方法使用iptables拦截筛选docker映射出来的端口

			
		

	





	

		

			

				
					
详解如何解决docker容器无法通过IP访问宿主机问题

				
			

			

				

					01-10
				

			

		

		

			
				
在使用 docker 的过程中我不幸需要在 docker 容器访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现:  curl: (7) ...

			
		

	





	

		

			

				
					
Linux使用iptables限制多个IP访问你的服务器

				
			

			

				

					09-15
				

			

		

		

			
				
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下

			
		

	





	

		

			

				
					
iptables 限制ip配置

				
			

			

				

					Enosji的博客
				

				

					11-18
					
					6990
					
				

			

		

		

			
				
介绍

很多时候我们都叫他防火墙但是其实iptables不算是真正的防火墙,我们其实可以把它理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,而这个安全框架才是真正的防火墙,这个框架名字叫netfilter。

netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间,我们用这个工具去操作真正的框架。

iptables功能非常强大且免费,这里只记录限制IP的功能

限

			
		

	





	

		

			

				
					
防火墙iptables实现端口限制

				
			

			

				

					weixin_42107190的博客
				

				

					12-13
					
					5144
					
				

			

		

		

			
				
防火墙iptables实现端口限制
1.首先修改默认的iptables状态为DROP(禁止)
#iptables default change to DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

2.当需要访问某一个端口时(例如 端口6666),打开端口6666
#INPUT
iptabl...

			
		

	





	

		

			

				
					
使用 iptables 限制 Docker 容器端口访问

				
			

			

				

					qq_42895490的博客
				

				

					05-12
					
					654
					
				

			

		

		

			
				
Docker 环境中,容器端口映射可能会暴露在宿主机网络接口上,导致安全隐患。为了加强安全性,我们可以通过配置iptables限制Docker 容器端口访问。本文将深入探讨如何使用iptables的链来实现这一目标,并解析其默认规则的含义。

			
		

	





	

		

			

				
					
[运维] iptables限制指定ip访问指定端口只允许指定ip访问指定端口

					
热门推荐

				
			

			

				

					梦醒贰零壹柒
				

				

					06-07
					
					1万+
					
				

			

		

		

			
				
iptables

			
		

	





	

		

			

				
					
iptables 限制所有ip访问22端口,仅开放个别ip访问 持续更新

				
			

			

				

					weixin_45717886的博客
				

				

					04-26
					
					1万+
					
				

			

		

		

			
				
查看当前iptables 规则

[root@iZwz9conqz5shxfx2gmnfkZ ~]# iptables -nvL



添加已经建立tcp连接,就开放网络访问

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


添加允许访问22端口ip

iptables -A INPUT -s 8.210.62.122 -p tcp --dport 22 -j ACCEPT


拒绝所有ip访问22端口

iptabl.

			
		

	





	

		

			

				
					
linux: 使用iptables阻断到某个ip某个端口访问

				
			

			

				

					十年运维开发经验的王义杰在此分享自己的知识和经验
				

				

					11-16
					
					5217
					
				

			

		

		

			
				
规则的行号来删除它。在进行这些操作时,请确保具有足够的权限,并且对操作的影响有充分的了解,以免意外中断网络服务。阻断到特定 IP 地址的特定端口访问,我们可以遵循以下步骤。在对网络配置进行更改时,确保我们完全了解这些更改的后果,以避免不必要的网络中断。:添加规则一样,删除规则后也需要保存更改。命令或相应的方法来保存这些规则,具体取决于你的 Linux 发行版。:使用以下命令来添加一条规则,阻断到指定 IP 端口访问。:一旦我们找到了要删除的规则的行号,使用。设置的阻断规则,我们可以使用。

			
		

	





	

		

			

				
					
iptables限制docker端口

				
			

			

				

					u013231016的专栏
				

				

					03-22
					
					1963
					
				

			

		

		

			
				
前言:在linux上,docker映射了端口,想着对服务端口进行限制指定IP访问,发现在filter表的INPUT链限制无效。最后处理结果如下:

启动docker后,在防火墙上nat表上会自动生成如下配置:


-A DOCKER ! -i docker0 -p tcp -m tcp --dport 8010 -j DNAT --to-destination 172.17.0.2:9091


将docker 9091端口映射到本机8010端口,现在需要对8010端口进行限制端口访问

在filter表中

			
		

	





	

		

			

				
					
Linux - iptable 限制 IP 访问端口

				
			

			

				

					weixin_30570101的博客
				

				

					06-20
					
					502
					
				

			

		

		

			
				
iptable 设置iptables
限制特定IP 访问:

-A INPUT -s 172.16.2.20 -p tcp -j ACCEPT-A INPUT -s 172.16.2.0/24 -p tcp -j ACCEPT

设置特定端口访问特定端口:

-A INPUT -s 172.17.1.0/16 -p tcp -m state --state NEW -m tcp --...

			
		

	





	

		

			

				
					
iptables限制外部ip访问docker

				
			

			

				

					01-22
				

			

		

		

			
				
### 配置iptables规则以限制外部IPDocker容器访问  为了防止不希望的外部流量到达 Docker 容器,可以通过向 `DOCKER-USER` 链添加自定义规则来控制入站连接。这允许管理员基于源 IP 地址或其他条件有选择地阻止...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值