iptables限制docker端口禁止某台主机访问(使用DOCKER链和raw表的PREROUTING链)

已于 2024-11-01 10:45:25 修改
阅读量1.2k 收藏 6
点赞数 8
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: docker 容器 运维
于 2024-10-28 16:01:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42249813/article/details/143304812

背景:

在Linux上docker映射了端口,想着对服务端口进行限制指定IP访问,发现在filter表的INPUT链限制无效

环境:

主机192.168.56.132上的docker容器部署了nginx并将容器80端口映射到主机8000端口

[root@localhost ~]# docker ps -a
CONTAINER ID   IMAGE                          COMMAND                  CREATED       STATUS       PORTS                                   NAMES
79e2d2824b97   dockerproxy.cn/library/nginx   "/docker-entrypoint.…"   4 hours ago   Up 2 hours   0.0.0.0:8000->80/tcp, :::8000->80/tcp   nginx-test
[root@localhost ~]# netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN      83216/docker-proxy                  
tcp6       0      0 :::8000                 :::*                    LISTEN      83220/docker-proxy

需求:

仅允许192.168.56.128主机访问此容器,其他主机全部禁止访问。
此时默认iptables策略为:

[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DOCKER-USER  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-1  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:80

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination         
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

操作:

按照常规操作添加策略

在INPUT表中直接添加drop所有地址访问8000端口

# 添加策略
[root@server ~]# iptables  -I INPUT -p tcp --dport 8000 -j DROP
# 查看
[root@server ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8000
使用其他机器测试发现所添加防火墙策略无效
[root@client ~]# curl  192.168.56.132:8000
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>

那尝试禁用80端口看看是否有效
[root@server ~]# iptables  -I INPUT -p tcp --dport 80 -j DROP
[root@server ~]# i
最低0.47元/天 解锁文章
(14)关于docker如何通过防火墙做策略限制
Linwk的博客
09-24 1159
2、因为NAT是做地址转换的,无法做过滤,所以要在NAT中添加RETURN策略,让匹配到的流量跳过本张,流转到filter中,这样就可以通过filter中的DROP或REJECT来做限制了。当用户通过外部网络访问docker容器时,流量是先经过宿主机,然后通过nat转换成一个叫docker0网卡上的ip去访问容器的。(因为docker程序修改了防火墙策略,优先将PREROUTING上的规则转发到自定义的DOCKER)POSTROUTING:需要做源的地址转换(SNAT)的优先走这个
iptables限制多个端口出站
weixin_60092693的博客
01-11 263
【代码】iptables限制多个端口出站。
iptables限制宿主机Docker IP端口访问(安全整改)
m0_66406345的博客
04-05 3002
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则DOCKER-USER,所以需使用iptablesDOCKER-USER限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器的顶部插入一个否定的规则。
使用 iptables 限制 Docker 容器端口访问
最新发布
qq_42895490的博客
05-12 583
Docker 环境中,容器端口映射可能会暴露在宿主机的网络接口上,导致安全隐患。为了加强安全性,我们可以通过配置iptables限制Docker 容器端口访问。本文将深入探讨如何使用iptables来实现这一目标,并解析其默认规则的含义。
通过iptables限制docker容器端口
06-24 2281
如何限制docker暴露的对外访问端口 docker 会在iptables上加上自己的转发规则,如果直接在input限制端口是没有效果的。这就需要限制docker的转发上的DOCKER。 # 查询DOCKER并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则,这里添加了允许访问ip的限制...
docker 禁止iptables
weixin_29232507的博客
08-18 381
我整理的一些关于【Docker,iptables】的项目学习资料(附讲解~~)大家一起分享、学习一下:https://d.51cto.com/xltfov如何在 Docker禁止 iptables 作为一名刚入行的开发者,理解 Docker iptables 的关系是至关重要的。在某些情况下,我们可能需要禁止 D...
docker 禁止修改iptables_Docker网络管理
weixin_39589766的博客
11-22 428
容器之间互访docker 0网卡可以理解为一个交换机,负责交互容器之间的信息交互,有几个容器,就会出现几个veth。容器访问外部网络iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -o docker0 -j MASQUERADE外部网络访问容器dockerrun-d-p80:80apacheiptables-tnat-AP...
禁止Docker使用iptables防火墙改为使用Firewalld
weixin_43991475的博客
04-28 2452
docker默认是使用iptables防火墙做安全管理,例如用来映射宿主机端口docker容器端口。 当我们把系统的fireawlld防火墙打开,没有放行任何端口IP地址,但是docker映射出来的端口号,外网依旧可以进行访问。 如果我们不想docker使用iptables改为使用firealld防火墙来管理可以吗?当然可以。 方法 修改daemo.json禁用iptables vi /etc/docker/daemon.json #增加下面的配置,禁用iptables { ".
禁止Docker调用iptables防火墙,使用Firewalld来管理
qq_45631844的博客
02-16 4332
前言 想必大家都会遇到这种情况,当我们把系统的fireawlld防火墙打开,没有放行任何端口IP地址。docker映射出来的端口号,外网依旧可以进行访问。这是因为docker启动会自动调用iptables防火墙来作为管理,所以即使我们开启了firewalld防火墙也不起作用。 接下来我们禁用iptables防火墙,使用firealld防火墙来管理 配置过程 修改如下文件 vi /etc/docker/daemon.json { "iptables":false #禁用iptables防火墙 } 重启
Dockeriptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Dockeriptables规则在iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
iptables防火墙基本概念及数据流程docker防火墙配置实例
HelloBiu的博客
08-30 3218
iptables防火墙基本概念及数据流程docker防火墙配置实例
禁止docker管理iptables限制外网访问容器
神棍之路
12-23 3691
禁止docker管理防火墙 修改/etc/docker/daemon.json { “iptables”:false } 重启docker INPUT中添加限制端口即可
docker 禁止修改iptables_Docker 遇到的异常注意点
weixin_39530839的博客
11-27 661
点击上方蓝字关注我们笔者整理的一些使用 docker 的时候,遇到的问题解决办法遇到的一些异常解决方法1、删除镜像时出现:Error response from daemon: conflict:unable todelete95219df55354 (must beforced) - image isreferenced in multiple repositories可...
docker 禁止修改iptables_理解 Docker 网络() -- Docker宿主机网络环境的影响
weixin_39789525的博客
11-23 1010
简介通过 Docker 容器可以实现文件系统,网络内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点.。在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)限制直接与取得外网访问权的情况.。在这篇文章中将会分析安装 Docker宿主机网络设备 iptables 两个重要的网络环境的影响...
WARNING: bridge-nf-call-iptables is disabled,当我们用docker 的时候发现我们执行docker -v 的时候最下面会出现一行问题
晴晴公猪ovo
04-25 3071
WARNING: bridge-nf-call-iptables is disabled
查看docker运行状态报错2
2401_83107769的博客
06-06 835
警告通常意味着在使用 Docker 或其他虚拟化技术时,网络桥接功能被禁用了。这可能会影响容器之间的网络通信。或相关命令,应该不会看到之前的警告信息了。如果您仍然遇到问题,可能需要检查其他网络配置或联系技术支持获取帮助。完成上述步骤后,重启 systemctl restart docker 再次运行。
Alpine Linux安装docker后提示bridge-nf-call-iptables is disabled处理方法
qq_47719799的博客
01-04 510
启用并确保您的iptables规则适用于通过网桥接口的流量。
使用docker info 出现问题
m0_62975692的博客
06-03 527
将以下两个内核参数的值设置为。
docker端口映射 访问网页
03-15
### Docker端口映射配置教程及访问网页的方法 为了通过Docker端口映射访问网页服务,通常需要完成以下几个方面的操作: #### 1. 使用`docker run`命令指定端口映射 在启动容器时,可以使用`-p`参数来定义主机容器之间的端口映射关系。例如,如果希望将宿主机的8080端口映射到容器内的80端口(假设容器内运行的是Web服务),可以执行如下命令[^2]: ```bash docker run -d -p 8080:80 nginx ``` 上述命令会以后台模式启动一个Nginx容器,并将宿主机的8080端口映射到容器内的80端口。 #### 2. 如果未绑定端口,则需手动配置iptables规则 当容器已创建但未绑定端口时,可以通过配置iptables实现端口转发功能。具体步骤如下: - **查找容器IP地址** 运行以下命令获取目标容器的网络信息: ```bash docker inspect <container_id> ``` 在返回的结果中找到`NetworkSettings.IPAddress`字段对应的值作为容器的实际IP地址[^1]。 - **添加iptables规则** 假设要将宿主机的9090端口转发至容器中的80端口,可执行以下命令: ```bash iptables -t nat -A PREROUTING -p tcp --dport 9090 -j DNAT --to-destination <container_ip>:80 iptables -t nat -A OUTPUT -p tcp --dport 9090 -j DNAT --to-destination <container_ip>:80 ``` - **保存并生效iptables规则** 完成规则添加后,建议将其持久化存储以便重启后继续有效。对于某些Linux发行版,可能需要额外安装工具如`iptables-save``iptables-restore`。 #### 3. 访问网页的方式 一旦完成了端口映射或者iptables配置,就可以通过浏览器输入URL形式访问该页面了。比如,在前面的例子中,可以在本地机器上打开浏览器并访问 `http://<host_ip>:8080/` 或者 `http://<host_ip>:9090/` 来加载由Docker容器提供服务的内容。 --- ### 注意事项 尽管存在不显式声明 `-p` 参数却仍然可以从外部访问的情况,但这通常是由于默认桥接网络或其他特殊设置所致,并不是推荐的做法。因此,始终应该明确地设定好所需的端口映射策略以确保安全性以及可控性[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值