iptables 规则配置,docker 场景配置

已于 2024-12-31 13:55:50 修改
阅读量1.7k 收藏 11
点赞数 9
文章标签: docker 容器
于 2024-01-08 00:13:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hesqlplus730/article/details/135446809
版权
本文详细介绍了iptables命令在Linux防火墙中的使用,包括创建链、清空链、查看规则、添加规则以控制不同IP对特定端口的访问,以及在Docker场景中规则的维护和应用。还讨论了如何创建白名单链来限制特定IP范围的访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常用命令:

备份:iptables-save > /etc/iptables/iptables
重启不丢失:iptables-save > /etc/sysconfig/iptables
恢复:iptables-restore < /etc/iptables/iptables

-- 创建链
iptables -N WHITELIST_LX

-- 清空链
iptables -F WHITELIST_LX

-- 删除链
iptables -t filter -X

-- 查看规则,编号
iptables -nL --line-number

-- 查看生效列表
iptables -L -v -n

-- 删除规则
iptables -D INPUT <number> 注意观察编号

firewalld 关闭也生效

普通应用:

  • 拒绝其它服务访问本机的 8300 端口,配个基本的入站规则
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

常用场景:自己本服务集群的集群可以访问,其它IP拒绝访问

  • 允许 192.168.2.207-192.168.2.210 范围的IP 访问,其余IP拒绝
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

三台机器:192.168.2.207、192.168.2.208 ;本机 192.168.2.133

1

192.168.2.207 可以访问

2

本地访问不了

在这里插入图片描述

docker 场景配置:

  • docker 启动会自动维护规则链,情况规则链,重启docker服务后,会自动创建。

启动一个容器,挂了 8400 -> 8300

在这里插入图片描述

添加规则

  • 发现并不生效 😄
iptables -A INPUT -p tcp -m multiport --dport 8400 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dport 8400 -j DROP

4

本机依然可以访问
2

注: 对应docker 容器运行时,添加 iptables规则,需要带上 映射端口

添加一个新的链,白名单 iptables -N WHITELIST_LX

  • 引用:
    • iptables -I INPUT -j WHITELIST_LX
    • iptables -I FORWARD -j WHITELIST_LX
  • iptables -I WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
  • iptables -A WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -j DROP

2

何xiao树
关注
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 2936
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则
docker容器网络及网络配置
weixin_72898853的博客
08-09 2122
docker容器网络及网络配置
dockeriptables
球球之家
06-14 4753
iptables介绍 IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 安装iptables服务 其实不安装也可以,centos7默认就有iptables,但是没有对应servi...
基于iptablesDocker端口白名单控制
最新发布
tersky的专栏
04-13 793
上面的案例,阐述的是,docker 容器里的端口分别是不同的端口,如果我们容器内的端口都是8080,那应该怎么限制呢,典型的场景就是所有微服务的容器端口都是相同的,只是暴露的端口不同。只允许17216.200.200 访问apollo 暴露在宿主机上的 10002,10003,10004 端口。需要提前创建好docker 的网桥,指定容器的网络, ipv4_address: xx.xx.xx.xx。对服务进行编排管理。执行以下命令检查规则顺序,确保。执行以下命令检查规则顺序,确保。
dockeriptables策略详解和用户自定义策略的添加
架构+开发+运维
07-15 2357
dockeriptables策略详解和用户自定义策略的添加
Dockeriptables配置
weixin_33869377的博客
04-24 3658
为什么80%的码农都做不了架构师?>>> ...
docker iptables配置
xcdsy@aliyun.com
05-30 5499
启动一个有nat映射端口的容器iptables 报No chain/target/match by that namedocker run -d -p 2181:2181 -p 2888:2888 -p 3888:3888 garland/zookeeper Error response from daemon: Cannot start container 565c06efde6cd4411
dockerDocker网络与iptables
热门推荐
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置iptablesDocker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
iptables详解及dockeriptables规则
五侠的博客
10-31 2万+
iptables详解及dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
在CentOS 7中如何禁用firewalld并配置iptables以管理Docker容器的网络访问权限?
11-25
为了深入理解iptables的使用和配置,建议阅读《CentOS7 Docker防火墙的简单配置教程》。该教程不仅涵盖了基础知识,还提供了实战技巧,帮助你更好地理解和掌握如何在CentOS 7系统中配置和使用iptables。 参考资源...
【性能优化】:iptables规则管理在Docker性能提升中的关键作用
本文探讨了iptables规则管理的基础知识、在Docker网络环境中的应用以及性能优化的理论与实践。首先,介绍了iptables规则管理的基本概念和Docker网络模式对iptables的影响。随后,详细分析了iptables规则集对系统性能...
iptables防火墙在Docker容器环境中的应用
Docker容器网络基础概述 ## 1.1 Docker容器网络简介 Docker 是一种轻量级、可移植的容器技术,它允许开发者封装应用及其所有依赖项到一个独立的容器中。Docker 容器之间可以快速部署、复制和移动,这种特性使得...
Dockeriptables规则iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017\r\ndebug1: Reading configuration data /etc/ssh/ssh_config\r\ndebug1: /etc/ssh/ssh_co
docker容器网络配置
m0_56681539的博客
08-10 2869
Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部访问能够访问到,可以通过映射容器端口到宿主主机(端口映射),即docker run创建容器时候通过 -p 或 -P 参数来启用,访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。...
学习iptables 学习查看docker网络配置
勤不了一点
05-14 704
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
docker宿主机iptables配置
weixin_34293059的博客
01-25 7736
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
DUBBO配置规则详解
qi20088的专栏
11-10 477
研究DUBBO也已经大半年了,对它的大部分源码进行了分析,以及对它的内部机制有了比较深入的了解,以及各个模块的实现。DUBBO包含很多内容,如果想了解DUBBO第一步就是启动它,从而可以很好的使用它,那么如何更好的使用呢?就需要知道DUBBO的各个配置项,以及它可以通过哪些途径进行配置。个人对配置的理解,就好比时对动物的驯服,如何很好的驯服一头猛兽,那就需要知道它各种习性,从而调整,已达到自己期望...
centos上docker+虚拟专用隧道的iptables规则配置
松果177的博客
11-16 421
CentOS7默认的防火墙不是iptables,而是firewalld,但firewalld与docker并不是很和谐,在内网部署docker容器时一般选择关闭firewalld解决问题,但对外服务时考虑安全的前提下需要同时使用二者时,我们往往会选择安装iptables-services替代firewalld 停止firewalld服务 systemctl stop firewalld 禁止firewalld开机启动 systemctl disable firewalld 卸载firewalld服
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值