iptables 规则配置,docker 场景配置

原创 已于 2024-12-31 13:55:50 修改 · 2.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器

于 2024-01-08 00:13:59 首次发布
本文详细介绍了iptables命令在Linux防火墙中的使用,包括创建链、清空链、查看规则、添加规则以控制不同IP对特定端口的访问,以及在Docker场景中规则的维护和应用。还讨论了如何创建白名单链来限制特定IP范围的访问。

常用命令:

备份:iptables-save > /etc/iptables/iptables
重启不丢失:iptables-save > /etc/sysconfig/iptables
恢复:iptables-restore < /etc/iptables/iptables

-- 创建链
iptables -N WHITELIST_LX

-- 清空链
iptables -F WHITELIST_LX

-- 删除链
iptables -t filter -X

-- 查看规则,编号
iptables -nL --line-number

-- 查看生效列表
iptables -L -v -n

-- 删除规则
iptables -D INPUT <number> 注意观察编号

firewalld 关闭也生效

普通应用:

  • 拒绝其它服务访问本机的 8300 端口,配个基本的入站规则
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

常用场景:自己本服务集群的集群可以访问,其它IP拒绝访问

  • 允许 192.168.2.207-192.168.2.210 范围的IP 访问,其余IP拒绝
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dport 8300 -j DROP

三台机器:192.168.2.207、192.168.2.208 ;本机 192.168.2.133

1

192.168.2.207 可以访问

2

本地访问不了

在这里插入图片描述

docker 场景配置:

  • docker 启动会自动维护规则链,情况规则链,重启docker服务后,会自动创建。

启动一个容器,挂了 8400 -> 8300

在这里插入图片描述

添加规则

  • 发现并不生效 😄
iptables -A INPUT -p tcp -m multiport --dport 8400 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dport 8400 -j DROP

4

本机依然可以访问
2

注: 对应docker 容器运行时,添加 iptables规则,需要带上 映射端口

添加一个新的链,白名单 iptables -N WHITELIST_LX

  • 引用:
    • iptables -I INPUT -j WHITELIST_LX
    • iptables -I FORWARD -j WHITELIST_LX
  • iptables -I WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -m iprange --src-range 192.168.2.207-192.168.2.210 -j ACCEPT
  • iptables -A WHITELIST_LX -p tcp -m multiport --dport 8400,8300 -j DROP

2

何xiao树
关注
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 3437
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则
五、Dockeriptables绕过firewalld的问题
dears-app的博客
01-01 1643
Dockeriptables绕过firewalld的问题
Dockeriptables规则iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017\r\ndebug1: Reading configuration data /etc/ssh/ssh_config\r\ndebug1: /etc/ssh/ssh_co
dockeriptables策略详解和用户自定义策略的添加
架构+开发+运维
07-15 2850
dockeriptables策略详解和用户自定义策略的添加
Dockeriptables配置
weixin_33869377的博客
04-24 3674
为什么80%的码农都做不了架构师?>>> ...
dockerDocker网络与iptables
热门推荐
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置iptablesDocker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 1044
Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
在CentOS 7中如何禁用firewalld并配置iptables以管理Docker容器的网络访问权限?
11-25
为了深入理解iptables的使用和配置,建议阅读《CentOS7 Docker防火墙的简单配置教程》。该教程不仅涵盖了基础知识,还提供了实战技巧,帮助你更好地理解和掌握如何在CentOS 7系统中配置和使用iptables。 参考资源...
如何配置iptables规则
最新发布
12-04
我们正在回答用户关于iptables规则配置方法的问题。用户已经提供了一些引用内容,我们需要结合这些引用内容来组织答案。同时,我们要注意回答的结构,并且生成相关问题。 引用内容概述: [^1]: 介绍了iptables是...
【性能优化】:iptables规则管理在Docker性能提升中的关键作用
本文探讨了iptables规则管理的基础知识、在Docker网络环境中的应用以及性能优化的理论与实践。首先,介绍了iptables规则管理的基本概念和Docker网络模式对iptables的影响。随后,详细分析了iptables规则集对系统性能...
Dockeriptables及实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
深入理解 Docker 网桥配置与网络管理
fudaihb的博客
12-26 1878
容器化技术快速发展的今天,Docker 成为现代软件部署的核心工具之一。然而,容器的网络管理,尤其是如何通过网桥实现容器之间及容器与外部世界的通信,仍是许多开发者和运维工程师的困惑之处。 本文将深入探讨 Docker 的网络管理,重点分析 **Bridge 网络** 的原理与配置,提供从入门到高级实战的全面指导,帮助读者掌握 Docker 网桥配置的核心技能。
学习iptables 学习查看docker网络配置
勤不了一点
05-14 1006
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
docker iptables配置
xcdsy@aliyun.com
05-30 5537
启动一个有nat映射端口的容器iptables 报No chain/target/match by that namedocker run -d -p 2181:2181 -p 2888:2888 -p 3888:3888 garland/zookeeper Error response from daemon: Cannot start container 565c06efde6cd4411
iptables详解及dockeriptables规则
五侠的博客
10-31 2万+
iptables详解及dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
通过iptables规则限制访问docker容器端口
qq_18452715的博客
08-11 1163
摘要:本文分析了Docker网络访问控制机制,重点阐述如何通过iptables限制外部访问Harbor仓库。Docker默认创建DOCKERDOCKER-ISOLATION和DOCKER-USER链,其中DOCKER-USER链用于添加自定义规则。建议在DOCKER-USER链中设置过滤规则(如仅允许特定IP访问Harbor容器),但需注意容器IP可能变化。关键发现:防火墙重启可能导致规则失效,必须重启Docker恢复链顺序。文中提供了示例规则和测试结果,验证了该方案的有效性,同时强调规则维护的重要性。
docker宿主机iptables配置
weixin_34293059的博客
01-25 7768
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
linux+docker配置iptables
qqjjj的博客
12-05 2072
linux docker iptables
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值