通过iptables限制docker 容器的运行端口

最新推荐文章于 2025-05-12 00:22:25 发布

筏镜

最新推荐文章于 2025-05-12 00:22:25 发布

阅读量583

点赞数 1

文章标签： docker 容器运维

本文链接：https://blog.youkuaiyun.com/fajing_feiyue/article/details/144790445

版权

通过在iptables DOCKER-USER 添加规则禁止特定端口访问，主要是有两个点
1.添加 DOCKER-USER 链添加
2.禁止端口是映射到容器端口

假如起一个mysql镜像，暴露在宿主机的端口为9000，容器实际使用为3306端口，这个时候，应该禁止3306端口。

iptables -I DOCKER-USER  -p tcp --dport 3306 -j DROP
iptables -I DOCKER-USER  -s 10.11.105.236 -p tcp --dport 3306 -j ACCEPT

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

筏镜

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

iptables限制宿主机跟Docker IP和端口访问（安全整改）

m0_66406345的博客

04-05

2939

您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料，发现Docker容器创建时会自动创建iptables策略，Docker使用的i规则链是DOCKER-USER，所以需使用iptables对DOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问，此规则因该在其他规则之前执行，以确保其生效。整改：对端口做限制，只允许平台服务器的网段对该端口进行访问,其余都拒绝。，请在DOCKER-USER过滤器链的顶部插入一个否定的规则。

iptables限制Docker IP和端口访问

SpringLei

07-25

1万+

等保整改安全加固时，使用iptabels限制docker端口不生效，限制非docker容器端口可生效。经查阅大量资料，发现Docker容器创建时会自动创建iptables策略，Docker使用的i规则链是DOCKER-USER，所以需使用iptables对DOCKER-USER链做限制。...............

参与评论您还未登录，请先登录后发表或查看评论

使用 iptables 限制 Docker 容器端口访问

最新发布

qq_42895490的博客

05-12

453

在 Docker 环境中，容器的端口映射可能会暴露在宿主机的网络接口上，导致安全隐患。为了加强安全性，我们可以通过配置iptables来限制对 Docker 容器端口的访问。本文将深入探讨如何使用iptables的链来实现这一目标，并解析其默认规则的含义。

iptables禁用docker暴露的端口

先拙的博客

01-30

6697

分析 Docker容器启动防火墙上的变动如果暴露本机端口，在nat表的DOCKER链上增加一条规则DNAT tcp -- !<docker-network> 0.0.0.0/0 0.0.0.0/0 tcp dpt:<dest port> to:<new address>:<new port>。可以通过命令sudo iptables -t nat...

配置iptables禁止docker容器暴露的host的端口

先拙的博客

06-06

5194

在Chain DOCKER-USER 中增加配置，禁止192.168.1.0/24网段的访问可按照如下配置 iptables -I DOCKER-USER -s 192.168.1.0/24 -j DROP

通过iptables限制docker容器端口

06-24

2279

如何限制docker暴露的对外访问端口 docker 会在iptables上加上自己的转发规则，如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。 # 查询DOCKER表并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则，这里添加了允许访问ip的限制...

iptables限制docker端口禁止某台主机访问（使用DOCKER链和raw表的PREROUTING链）

qq_42249813的博客

10-28

1178

两种方法使用iptables拦截筛选docker映射出来的端口

docker_iptables:帮助手动管理 Docker 容器的 iptables 端口映射的实用程序

06-11

该脚本旨在手动处理 Docker iptables 端口转发，适用于您无法让 Docker 自行管理 iptables 的情况，因为它与系统上也尝试管理 iptables 的其他事物发生冲突。用法假设/先决条件： systemd是您的 init，容器将由 ...

解决docker指定udp端口号的问题

01-08

docker启动容器时会指定访问端口，可以通过多个-p指定多个端口映射。 udp在后台会有一个自己的端口号，区别于服务访问的端口号，这时就需要启动服务时候来指定一下了。如： docker run -p 8080:8090 -p 10000:...

【Docker之轨迹】为正在运行中的容器动态添加端口映射（使用 iptables，附删除 iptables 规则）

Ice__Clean的博客

10-06

1603

需求 docker 中为容器添加端口映射只能在启动容器时（即 run）添加，而一旦启动完毕后，docker 就不再提供端口映射的功能，那我们可以绕开 docker，自己手动添加吗？答案是可以的！一番查找后，我了解到 docker 添加端口映射实际上是基于 iptables 实现的，所以只要修改里边的映射规则，就可以作用到 docker 容器上了，步骤如下： ① 获取容器 IP 可以进入到容器，通过 ifconfig 拿到容器的 IP 地址，如下：当然，如果有为容器固定 IP 地址的，话也可以直接用那.

Docker通过iptables限制端口

2301_76251885的博客

11-07

736

后续就走到filter链input表，docker间互相访问的话需放行所以就不需要在input里面配置白名单，或者拦截规则。放行外网指定Ip的话，首先走的还是nat链PREROUTING表，然后走docker表的，因为是外网访问，所以跳过第一条规则，后面匹配对应的容器端口进行转发，走到filter链forward表。因为是-i所以插入到foward链头部，所有先执行drop，后执行accept，这样白名单Ip请求进来时，会匹配到第一条规则，则放行，其他Ip请求进来时，匹配到第二条规则，直接拒绝访问。

docker 禁止修改iptables_Docker 学习笔记2 安装及一些问题处理

weixin_39669638的博客

11-20

246

一、简介docker是一个开源的应用容器，基于Go语言(Apache2.0)。Docker可以让开发者打包应用及依赖到一个轻量级、可移植的窗口中，然后发布到任何流行的linux机器上，也可以实现虚拟化。窗口是完全使用沙箱机制，相互之间不会有任何接口，性能开销极低。Docker的应用场景：Web应用的自动化打包和发布自动化测试和持续集成、发布在服务型环境中部署和调整数据库或其它的后台应用。从头编译或...

docker 禁止修改iptables_Docker 遇到的异常和注意点

weixin_39530839的博客

11-27

659

点击上方蓝字关注我们笔者整理的一些使用 docker 的时候，遇到的问题和解决办法遇到的一些异常和解决方法1、删除镜像时出现：Error response from daemon: conflict:unable todelete95219df55354 (must beforced) - image isreferenced in multiple repositories可...

docker 限制ip访问端口

coderYJ的博客

12-19

1787

需求限制外网访问 docker的某个服务经过查找发现 ubuntu的 ufw 防火墙是无效的技术交流。

防火墙控制Docker端口开放与关闭

热门推荐

weixin_43876317的博客

01-17

1万+

1.问题描述 docker下的oracle数据库服务存在漏洞，解决难度较高，于是通过firewalld限制高危端口开放，只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去，但其他服务器依然能访问这给服务器的1521端口，也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op

【博客576】警惕docker本身iptables规则对网络的影响

qq_43684922的博客

01-07

2668

在k8s节点由于某种原因，比如：需要拉起一个docker环境来制作镜像，需要拉起一些不由k8s管理的容器，这些容器需要有网络通信，但是在通信时出现网络不通，比如：将容器的80端口映射到8080去对外暴露，但是实际不通。

基于iptables的Docker端口白名单控制

srebro.cn | 运维小弟

02-19

1203

某项目组采用容器化部署架构，通过对服务进行编排管理。

docker运行容器的端口

01-24

### 如何在Docker中运行容器时配置和映射端口 #### 使用`docker run`命令进行端口映射当通过 `docker run` 命令来启动一个新的容器实例时，可以利用 `-p` 或者 `--publish` 参数来进行主机到容器的端口映射。此参数允许指定要公开的服务端口号以及它应该转发至哪个内部容器端口。例如，如果想要把宿主机上的 8080 端口映射到正在创建的新容器内的 web 应用程序监听着的第 80 端口，则可以在执行 `docker run` 的时候加入如下选项： ```bash -p 8080:80 ``` 这表示任何发送给本地机器 IP 地址加上 8080 端口的数据包都会被重定向并传递给新启动的那个特定于该会话的容器里边处于侦听状态下的 HTTP 协议默认使用的 80 号端口[^1]。对于多个端口的情况也可以一次性完成设置；只需重复上述语法即可。比如同时开放两个不同的外部访问路径分别对应同一应用的不同接口： ```bash docker run -d \ --name some-mysql \ -e MYSQL_ROOT_PASSWORD=my-secret-pw \ -p 3306:3306 \ -p 33060:33060 \ mysql/mysql-server:latest ``` 这段脚本不仅定义了一个名为 `some-d`) 运行起来，而且还设置了两组端口关联关系——即客户端可通过连接至物理机上相应位置处所对应的虚拟地址空间里的任意一处去请求资源，并由后者负责将消息转交给目标对象处理[^2]。 #### 动态调整已有容器的端口映射一旦某个容器已经开始运作之后再想去改变其原先设定好的对外展现形式并非易事，因为官方并不支持直接编辑现存实体的相关属性值。不过还是存在变通办法可循：一种较为常见的方式就是先停止当前版本的工作流程(`docker stop CONTAINER_ID/NAME`) ，接着删除旧版副本(`docker rm CONTAINER_ID/NAME`) 并依据更新后的配置文件重建新的替代品[^3]。另外还有一种更为激进的方法适用于某些特殊场景下临时性的需求满足 —— 直接操作系统的防火墙规则集(Iptables)，从而绕过常规机制达到目的。具体做法是在 NAT 表内新增一条记录指向所需变更的目标地址及其协议类型连同具体的传输层端口号组合而成的目的地信息。需要注意的是这种方法只适合短期测试用途而不建议长期部署生产环境当中使用[^4]。