让Docker端口映射受Firewall管理而非iptables

最新推荐文章于 2025-07-24 14:24:01 发布

原创最新推荐文章于 2025-07-24 14:24:01 发布 · 462 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#docker #容器 #运维

要让Docker容器的端口映射受系统防火墙(如firewalld或ufw)管理，而不是直接通过iptables，可以按照以下步骤配置：

方法一：禁用Docker的iptables规则

（1）编辑Docker配置文件：

vi /etc/docker/daemon.json

添加以下内容：

{
  "iptables": false
}

（2）重启Docker服务：

systemctl restart docker

方法二：与firewalld集成（推荐）

确保firewalld已安装并运行：

systemctl enable --now firewalld

将Docker接口添加到trusted区域：

firewall-cmd --permanent --zone=trusted --add-interface=docker0

允许特定端口通过firewalld：

firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload

注意事项

1、修改这些设置后，你需要通过firewalld手动管理所有Docker容器的端口访问。
2、某些Docker网络功能可能会受到影响。
3、对于已存在的容器，可能需要重新创建才能使更改生效。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

angushine

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

docker 通过 firewalld、iptables 端口映射 及解决外部主机无法访问问题

JineD的博客

02-24

9799

docker容器内提供服务并监听8888端口，要使外部能够访问，需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题，在虚机A上部署后，在A内能够访问8888端口服务，但是在B却不能访问。这应该是由于请求被拦截。一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行，且所有的防护策略都没有启动，那么可以排除防火墙阻断连接的情况了。如果输出的是“running

运维系列：docker端口映射或启动容器时报错 driver failed programming external connectivity on endpoint quirky_allen

weixin_54626591的博客

05-06

1253

docker端口映射或启动容器时报错 driver failed programming external connectivity on endpoint quirky_allen

参与评论您还未登录，请先登录后发表或查看评论

在安装docker配置端口时 centos7 防火墙规则失效

卷心菜投手

04-27

4185

在安装docker配置端口时 centos7 防火墙规则失效 iptable firewalld zone

Docker容器化应用的端口映射与网络访问配置

木头大左的博客

06-18

493

Docker 提供了灵活的网络模型，允许用户自定义网络配置以满足不同的应用需求。默认情况下，Docker 使用bridge网络驱动，但在某些场景下，需要创建自定义网络以实现更复杂的通信需求。自定义桥接网络可以提供更好的隔离性和灵活性，适用于微服务架构中的多容器协作场景。步骤如下：创建自定义桥接网络使用创建一个新的桥接网络。配置网络参数可以通过--subnet--gateway等选项配置网络的子网和网关。运行容器并连接到自定义网络在启动容器时，使用--net或--network选项指定网络。

docker 映射端口穿透内置防火墙

伟庭的博客

06-29

2726

docker 映射端口穿透内置防火墙

Docker 端口映射的 “隐藏炸弹“ 与安全访问方案

葡萄枸杞桂圆干的博客

03-14

869

默认会绕过防火墙，但在阿里云上仍受安全组限制。阿里云安全组必须手动开放 3001 端口，否则外部无法访问。推荐+ Nginx 代理，提高安全性。这样既能保证安全性，又能灵活管理访问控制！🚀。

#信息安全#--Docker&防火墙

2201_75578072的博客

11-07

1127

让开发者可以打包他们的应用以及依赖包到一个可移植的容器中, 然后发布到任何流行的Linux或Windows操作系统的机器上，容器是完全使用沙箱机制，相互之间不会有任何接口。Docker其实就是可以打包程序和运行环境，把环境和程序一起发布的容器，当你需要发布程序时，你可以使用Dokcer将运行环境一起发布，其他人拿到你的程序后就可以直接运行了。

docker端口映射

weixin_49535820的博客

04-13

1809

挂载文件宿主机的/app/docker/code/index.html 挂载到容器/usr/share/nginx/html/index.html。配置文件主: /app/docker/restart/conf/nginx/nginx.conf >/etc/nginx/nginx.conf。配置文件子: /app/docker/restart/conf/nginx/conf.d/ >/etc/nginx/conf.d/未来查看日志的时候,不用进入到容器,然后tail/less使用命令查看.

在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法

01-09

当您尝试通过`docker run`命令将主机端口映射到容器端口，例如`docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0`，Docker会尝试在iptables中设置规则，但这在firewalld环境中不会自动生效。...

Docker与防火墙问题——不让docker创建iptables规则

bland107的博客

07-26

567

所以就会出现防火墙没有开放端口，但容器启动后会自己开放，且在firewalld上是没有记录。在某一天，线上被扫出来一个服务漏洞，但是那个服务漏洞的端口不在firewalld防火墙上开放，查了大半天，发现docker自动会在iptable上面添加规则。有的到时候创建容器会因为eslinux的存在，到时一些奇奇怪怪的报错，所以这里先进行关闭。默认情况下当Docker启动容器映射端口时，会直接使用iptables开启添加端口。这里可以看出是docker的问题，所以需要修改docker的配置。

docker firewalld 防火墙设置

水彩橘子

07-19

1710

docker 默认会更改防护墙配置导致添加的防火墙策略不生效，可以启用firewalld 重新设置策略。然后在在public zone 加入docker 映射的端口策略。将docker 接口导入 trusted区。将对外网口接入public。重启防火墙和docker。

解决docker容器的bridge模式端口无法被firewalld管理问题

atzqtzq的博客

01-02

537

当我们bridge网络模式创建的docker，使用firewall-cmd发现管理不了此种端口。此时需要理解bridge模式下网络的转发原理，在合适的转发链上进行拦截。之前考虑在filter 和 nat表添加链路，发现不能生效.或者在DOCKER-USER添加规则，也不能生产。最后在raw表上添加规则才能生产，能成功拦截。

docker 容器绕过了firewalld规则可直接被外部访问，问题处理

oToyix的博客

11-29

2114

问题1：启动容器后，客户端访问服务时，会直接跳过firewalld规则，可以直接telnet容器端口问题2：容器访问宿主机端口需要单个开启端口规则，这里可以直接设置对宿主机容器开启权限直接执行以下命令即可 EN_INTERFICE=`ifconfig |grep -E '^en'|awk -F":" '{print $1}'` cat>/etc/docker/daemon.json <<-EOF { "iptables": false } EOF cat>>/etc/s

解决关于docker运行容器自动开放端口问题 firewall无法控制docker端口情况

weixin_45406882的博客

07-04

3715

这个问题之前没发现后来我无意之中看了下firewall的端口情况？ surprise mothercker 明明没有开启elasticsearch9200端口外网依然可以访问当时人就傻了疯狂查资料 docker在运行容器的会修改iptables 在百度上找了一个来小时没有任何进展转换至谷歌搜索五秒钟找到了答案建议有能力还是选择科学上网主要参考原文章由于笔者使用的centos8 所以就只介绍cent系统 ubuntu系统那原文章里有 #修改/usr/lib/systemd/syst

Centos7 配置docker的tcp端口

Hu_wen的专栏

09-26

4826

1.开启TCP管理端口 1.1. 创建目录/etc/systemd/system/docker.service.d mkdir /etc/systemd/system/docker.service.d 1.2. 在这个目录下创建tcp.conf文件,增加以下内容 vi tcp.conf [Service] ExecStart= ExecStart=/usr/bin/docke...

构建企业级Docker日志驱动：将容器日志无缝发送到腾讯云CLS

最新发布

K8sCat

07-24

688

本文介绍了一个开源的Docker日志驱动项目，可将容器日志直接发送至腾讯云CLS日志服务。项目采用模块化设计，包含Driver、Logger、Client等核心组件，通过异步非阻塞方式处理日志流，确保高并发场景下的稳定性。支持灵活的日志格式模板配置，包括容器ID、名称、时间戳等关键信息。项目使用腾讯云官方SDK实现日志上传，解决了传统容器日志管理分散、存储成本高、查询困难等问题。源码地址：https://github.com/k8scat/docker-log-driver-tencent-cls

freqtrade在docker运行一个dryrun实例

weixin_42480337的博客

07-23

732

config文件,这个配置做期货为主，静态配置了交易对，同时端口和第一个bot要不一样，不然没有办法进行监控，甚至要冲突了。10S钟进行循环，不然可能导致访问过多而封IP；大部分的调试是放在docker 内部进行的，现在要放到docker 去运行，所有要把config文件和compose.yaml进行处理好。同时你的决策表放的位置也很关键，包括你的最后的winrate这些表格位置。启动策略起始位置很重要，不然没有work的目录了。

docker部署的mysql端口映射无法telnet

03-22

<think>好的，我现在需要解决用户的问题：在Docker部署MySQL时，端口映射后无法通过telnet访问的问题。用户提供的参考信息里有几个引用，我需要仔细分析这些引用中的信息，并结合自己的知识来给出解决方案。首先，用户的问题是关于Docker中MySQL端口映射后telnet不通。根据引用[1]，用户使用了命令`docker run -d -p 3307:3306 ...`，将宿主机的3307端口映射到容器的3306端口。但连接本地3307失败。引用[2]提到端口映射写反了的情况，比如`-p 5060:8080`应该是宿主在前，容器在后，如果反过来就会出问题。所以首先需要检查端口映射是否正确，确认宿主端口和容器端口的顺序。然后，引用[3]提到了Linux系统需要开启IP转发，修改`net.ipv4.ip_forward=1`并重新加载配置。这可能是因为宿主机的网络配置问题导致外部无法访问Docker容器的端口。此外，防火墙设置也可能阻止了端口访问，需要检查宿主机的防火墙是否放行了对应端口，比如3307。引用[4]中的用户启动命令是`-p 9211:9211`，但telnet不通，可能涉及到容器内的应用是否真的在监听该端口。例如，MySQL容器是否正常启动，是否监听了正确的端口（默认3306），或者是否有配置错误导致服务没有正确绑定到端口。接下来，我需要综合这些信息，逐步分析可能的原因和解决方案。可能的步骤包括： 1. **检查端口映射方向**：确认`-p`参数是宿主端口在前，容器端口在后，例如`-p 3307:3306`是正确的，而反过来会导致问题。 2. **验证容器运行状态**：使用`docker ps`查看容器是否正在运行，确认没有异常退出。 3. **查看容器日志**：通过`docker logs <容器名>`检查MySQL启动过程中是否有错误，比如配置错误导致服务启动失败。 4. **检查容器内部端口监听**：进入容器内部，使用`netstat -tuln`查看MySQL是否在监听3306端口，可能MySQL配置绑定了本地回环地址（127.0.0.1），而不是0.0.0.0，导致外部无法访问。 5. **宿主机的防火墙配置**：检查宿主机的防火墙是否开放了映射的端口（如3307），可能需要使用`iptables`或者`firewalld`来放行端口。 6. **检查IP转发设置**：如引用[3]所述，确保`net.ipv4.ip_forward=1`已设置，并执行`sysctl -p`生效。 7. **网络策略或安全组**：如果是在云服务器上运行，可能需要检查安全组规则是否允许该端口的入站流量。 8. **测试本地回环地址和外部IP**：在宿主机上尝试telnet 127.0.0.1:3307和宿主机实际IP的3307端口，看看是否通，以确定是否是网络接口绑定问题。 9. **检查Docker网络模式**：如果使用自定义网络或桥接模式，可能会影响端口映射的效果，默认的桥接模式应该没问题，但需要确认。 10. **重新创建容器**：有时候可能存在残留的容器或网络配置问题，尝试删除旧容器并重新运行一个新的。现在，结合这些步骤，我需要整理出一个结构清晰的解决方案，逐步引导用户排查问题。同时，需要引用用户提供的参考资料中的要点，比如引用[1]中的正确端口映射命令，引用[2]中的端口顺序，引用[3]中的IP转发设置，引用[4]中的可能服务未监听的问题。最后，生成相关问题，帮助用户进一步理解相关知识点，比如Docker的网络模式、MySQL的绑定地址配置等。</think>### 逐步解决方案 #### 1. 检查端口映射方向确认启动命令中的端口映射顺序是否正确，格式应为`-p <宿主机端口>:<容器端口>`。例如： ```bash docker run -d -p 3307:3306 ... mysql ``` 若写反（如`-p 3306:3307`），则宿主机实际映射的是3306到容器的3307端口，导致无法通过3307访问[^2]。 --- #### 2. 验证容器状态使用以下命令检查容器是否正常运行： ```bash docker ps | grep mysql ``` 若状态显示为`Exited`，需查看日志定位问题： ```bash docker logs <容器名> ``` 常见问题包括MySQL初始化失败、配置文件错误等[^1]。 --- #### 3. 检查容器内服务监听状态进入容器内部验证MySQL是否监听正确端口： ```bash docker exec -it <容器名> bash netstat -tuln | grep 3306 ``` 若输出包含`0.0.0.0:3306`，表示服务已监听所有接口；若为`127.0.0.1:3306`，需修改MySQL配置`bind-address = 0.0.0.0`并重启服务[^3]。 --- #### 4. 检查宿主机防火墙 - **Linux**： ```bash iptables -L -n | grep 3307 # 查看规则是否放行 firewall-cmd --list-ports # 若使用firewalld ``` 若未开放，添加规则： ```bash firewall-cmd --add-port=3307/tcp --permanent firewall-cmd --reload ``` - **Windows/macOS**：检查系统防火墙是否允许Docker通过。 --- #### 5. 启用IP转发（Linux）编辑`/etc/sysctl.conf`，添加： ```bash net.ipv4.ip_forward = 1 ``` 加载配置并验证： ```bash sysctl -p sysctl -a | grep ip_forward ``` 若未开启，宿主机可能无法转发数据包到容器[^3]。 --- #### 6. 测试本地与外部访问 - **宿主机本地测试**： ```bash telnet 127.0.0.1 3307 ``` 若成功，说明映射生效，但外部网络可能受限。 - **外部机器测试**： ```bash telnet <宿主机IP> 3307 ``` 若失败，检查宿主机网络接口绑定或云服务商安全组规则。 --- #### 7. 检查Docker网络模式默认使用`bridge`模式时，端口映射应直接生效。若使用自定义网络，需确认网络配置： ```bash docker network inspect bridge ``` --- #### 8. 完整正确命令示例 ```bash docker run -d -p 3307:3306 \ -e MYSQL_ROOT_PASSWORD=your_password \ -v /宿主机/配置目录:/etc/mysql/conf.d \ --name mysql-container \ mysql:tag ``` --- ###