docker iptables详解

最新推荐文章于 2025-08-11 14:25:06 发布
转载 最新推荐文章于 2025-08-11 14:25:06 发布 · 2.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/WuLex
文章标签:

#docker #服务器 #网络

文章详细阐述了Docker数据如何经过iptables的处理,主要涉及NAT表的PREROUTING链进行DNAT转换,将数据转发到对应容器,接着在OUTPUT链中对本地地址的数据进行DNAT,并在POSTROUTING链中通过MASQUERADE进行SNAT动态转发,确保容器返回数据能正确发送出去。

该环境安装了docker ,并启动了一个容器做了端口映射

docker数据如何经过iptables

接着来梳理,数据经过iptables 是如何处理的。首先需要了解iptables 的组成:
iptables 有4表(raw、mangle、nat、filter)5链(prerouting、input、forward、output、postrouting

查看各个表命令
# 表功能解析
Filter表:过滤数据包
NAT表:用于网络地址转换(IP、端口)
Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表:决定数据包是否被状态跟踪机制处理

iptables -t raw -nL
iptables -t mangle -nL
iptables -t nat -nL
iptables -t filter -nL

5链解析

INPUT链——进来的数据包应用此规则链中的规则[过滤所有目标地址是本机地址的数据包(过滤进入主机的数据包)]
OUTPUT链——外出的数据包应用此规则链中的规则[处理所有源地址是本机地址的数据包(从本机发出去的数据包)]
FORWARD链——转发数据包时应用此规则链中的规则[负责转发流经主机的数据包,起转发的作用]
PREROUTING链——对数据包作路由选择前应用此链中的规则
POSTROUTING链——对数据包作路由选择后应用此链中的规则

综上,Linux将用户规则依据功能和规则所处链路位置进行分组,“四表”存放着功能一致的规则,“五链”存放着数据包所处链路一致的规则。
这四个表分别存放什么功能的规则?如下归类:
在这里插入图片描述

进入本篇正题:

docker数据经过iptables 需要按顺序经过5链进行处理。看下图:
在这里插入图片描述

  1. 首先数据经过prerouting表,由于 raw、mangle表都为空,所以可以直接看nat表的prerouting 链:

nat

iptables -t nat -nL

从下图顺序可以看到通过nat表中的prerouting链,将所有访问本地地址的数据都匹配到Docker 链;
而Docker 这里有DNAT 规则,将访问宿主机的这些端口的数据转发到了对应的容器当中172.20.x.x:port

在这里插入图片描述

  1. 再到input链,其中mangle表为空,直接看nat、filter表中的input链:

结合从上图(nat表)中可以看到natinput链以及下图(filter表)中的input链都没做任何规则

iptables -t filter -nL

在这里插入图片描述

  1. 再接着到output链,raw、mangle为空,直接查看natfilter表中的output

从上可以看到 nat 表中的output链将所有目的地址为非环回地址的本地地址数据匹配到Docker链,然后重复DNAT

再到filter表中的output链没有做任何规则

  1. 最后到postrouting 链,mangle 为空

nat表中POSTROUTING将目标容器地址的返回数据通过MASQUERADE(自动化SNAT)做动态转发出去,而目标地址为对应容器ip的,则转发到对应容器映射的外部端口上

iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 3432
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 1042
Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
dockeriptables策略详解和用户自定义策略的添加
架构+开发+运维
07-15 2846
dockeriptables策略详解和用户自定义策略的添加
dockerDocker网络iptables
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置。iptablesDocker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
iptables详解dockeriptables规则
五侠的博客
10-31 2万+
iptables详解dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
学习iptables 学习查看docker网络配置
勤不了一点
05-14 1005
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
iptables 实战】9 docker网络原理分析
程序员笔记
10-04 1348
在开始本章阅读之前,需要提前了解以下的知识。
精选资源
详解Docker使用Linux iptables 和 Interfaces管理容器网络
01-20
我使用docker至今已有... Docker广泛使用linux iptables和网桥接口,这篇文章是我如何用于创建容器网络的总结,大部分信息来自github上的讨论,演示文稿,以及我自己的测试。文章结尾我会给出我认为非常有用的资料链接
Docker 网络详解:从 docker0 网桥到网络命名空间
小诸葛的博客
04-19 1380
docker0 是一个虚拟网桥(bridge),由 Docker 在安装时自动创建。它存在于主机的网络命名空间中,充当容器网络与主机网络之间的“中间人”。网络连接:将容器的网络流量转发到主机网络接口(如 eth0),实现容器与外部网络的通信。IP 分配:docker0 关联一个默认子网(通常为 172.17.0.0/16),Docker 会从该子网为容器分配 IP 地址。NAT 转发:通过网络地址转换(NAT),将容器的私有 IP 转换为主机公网 IP,从而访问外部网络docker0 网桥。
精选资源
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
iptables 规则配置,docker 场景配置
何xiao树
01-08 2146
iptable配置,docker场景配置
iptables和容器Docker命令详细解析--看完秒懂
qq_43636320的博客
09-09 5542
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;
dockeriptables关系
zhao4471437的博客
11-18 2万+
1、首先了解一下docker网络机制 docker有4中网络模式: a.host b.container c.none d.bridge docker使用linux中的namespace隔离资源,一个docker容器会分配一个独立的network namespace。但是如果容器采用host时,那么这个容器会和宿主机公用一个network namespqce,容器将不会虚拟出自己的网
通过iptables规则限制访问docker容器端口
最新发布
qq_18452715的博客
08-11 1161
摘要:本文分析了Docker网络访问控制机制,重点阐述如何通过iptables限制外部访问Harbor仓库。Docker默认创建DOCKERDOCKER-ISOLATION和DOCKER-USER链,其中DOCKER-USER链用于添加自定义规则。建议在DOCKER-USER链中设置过滤规则(如仅允许特定IP访问Harbor容器),但需注意容器IP可能变化。关键发现:防火墙重启可能导致规则失效,必须重启Docker恢复链顺序。文中提供了示例规则和测试结果,验证了该方案的有效性,同时强调规则维护的重要性。
Dockeriptables基本原理
热门推荐
morris
11-09 3万+
通过iptables,可以对本机提供的网络服务 (FTP、WEB、EMAIL、DB…) 进行保护,通过规则进行过滤。iptables并不是真正的防火墙,可以理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,这个安全框架才是真正的防火墙,这个框架的名字叫netfilter。netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间。netfilter/iptables组成Linux平台下的包过滤防火墙。
dockeriptables的关系
ivy_1103的博客
09-28 2215
前言: iptables是linux的防火墙,一般我们自我搭建环境时会关闭。用service iptables status命令可以查看到iptables的状态。 docker的运行依赖于iptables,利用其中的nat功能。 一)  docker安装完毕,通过ifconfig,可以看到有一个docker0的虚拟网卡,如下:     docker0   Link encap:Et
基于iptablesDocker端口白名单控制
srebro.cn | 运维小弟
02-19 1438
某项目组采用容器化部署架构,通过对服务进行编排管理。
docker 和 k8s 环境下开启 iptables
2302_78308374的博客
03-21 510
这时候 calico-kube-controllers、calico-node、kube-proxy 都要重启(或者直接重启所有节点上的 docker )masqueradeAll: true — 启用 IP 伪装。即使源地址是 Pod,流量也会通过 Node 的 IP 伪装进行转发。1、修改 kube-proxy 的 Configmap。2、开启 iptables
docker宿主机iptables配置
weixin_34293059的博客
01-25 7768
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker来配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
Docker网络详解:Linux桥接与Veth技术应用
掌握`brctl`(管理bridge的工具)、`ip`(IP地址管理和路由)以及`iptables`(防火墙规则管理)命令的使用,能帮助我们更好地操作和调试Docker网络。 在Docker的经典网络架构中,每个容器通过veth连接到桥接网络br0...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值