iptables 实现 docker 端口映射

最新推荐文章于 2025-04-20 00:10:45 发布
最新推荐文章于 2025-04-20 00:10:45 发布
阅读量423 收藏 3
点赞数 11
文章标签: docker 容器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41917355/article/details/142864429
版权

在 Docker 中,端口映射的实现是通过 iptablesNAT 表PREROUTING 链来完成的。具体来说,Docker 使用以下 iptables 规则链来管理端口映射:

  1. PREROUTING

    • 这是 NAT 表中的一个链,用于处理所有到达宿主机的流量。在这里,Docker 通过修改目的 IP 地址和端口号,将外部请求重定向到容器的内部 IP 地址和端口上。
    • 当请求到达宿主机时,PREROUTING 链会捕获请求并根据 Docker 设置的规则,将请求重定向到对应容器的网络接口。

    示例命令查看 PREROUTING 链:

    iptables -t nat -L PREROUTING

  2. OUTPUT

    • 当请求是由宿主机自身发起时,会通过 NAT 表的 OUTPUT 链。同样地,Docker 会在这里添加规则,确保宿主机自己发出的请求可以正确映射到容器的网络接口。

  3. POSTROUTING

    • 当数据包从容器发出并返回到外部时,Docker 使用 NAT 表中的 POSTROUTING 链来修改源地址。这保证了容器的返回流量可以正确地发送回外部客户端。

  4. DOCKER

    • Docker 会在 NAT 表中创建一个名为 DOCKER 的自定义链,用于管理容器的端口映射和 NAT 规则。
    • PREROUTING 链中的规则会指向 DOCKER 链,并在这里处理具体的端口映射。

    示例查看 DOCKER 链:

    iptables -t nat -L DOCKER

端口映射工作流程:

  • 当你使用 docker run -p <host_port>:<container_port> 启动一个容器时,Docker 会通过 iptables 将宿主机的 <host_port> 映射到容器的 <container_port>
  • PREROUTING 链中的规则会捕获外部发向 <host_port> 的流量,重定向到容器的 IP 地址和 <container_port>

总结一下,Docker 的端口映射主要通过 NAT 表 中的 PREROUTINGDOCKER 来实现的。这些链协作,确保外部请求可以被正确地转发到容器中对应的端口。

狗贤
关注
docker端口映射iptables
青山绿轻舟
07-28 411
Spring 全家桶: Spring 原理 Spring面试题 思维导图 面试题 Spring视频 Spring 原理 Spring特点 Spring 核心组件 Spring常用模块 Spring主要包 Spring常用注解 Sping第三方结合 Spring 10C原理 Spring APO原理 Spring MVC原理 Spring Boot原理 JPA原理 Mybatis缓存 Tomcat架构 Spring面试题 一**、基本概念面试题集( Spring 相关概念梳理)** 1.谈谈对S
iptables限制docker端口禁止某台主机访问(使用DOCKER链和raw表的PREROUTING链)
qq_42249813的博客
10-28 1154
两种方法使用iptables拦截筛选docker映射出来的端口
iptablesdocker正在运行的容器添加端口映射
okhelp的专栏
01-29 620
例如 : 运行docker容器时,没有映射50600端口,想在不影响运行的情况下,添加该端口映射iptables -t nat -A DOCKER -p udp --dport 50600 -j DNAT --to 172.17.0.2:50600 iptables -t nat -A POSTROUTING -p udp -s 172.17.0.2 -d 172.17.0.2 --dport 50600 -j MASQUERADE iptables -A DOCKER -p udp --dpor.
Docker与本机端口动态映射的方法
天道酬勤
08-29 2921
修改或添加Docker与本机端口的映射需要生成新的image并通过这个image建立新的container,对于正式应用不是很方便,这里介绍一种是通过iptables来完成的Docker与本机端口的动态端口映射的方法,如下,          1、第一步: [root@iZ2ze7qovdcua99q5lxkb4Z ~]# iptables -t nat -nvL Chain
一文看懂docker网络映射机制
最新发布
qq_43394776的博客
04-20 968
Docker网络映射主要通过以及实现
使用iptables动态映射Docker容器端口
杰森写代码
08-31 1816
Docker动态映射端口
docker网络端口映射
热门推荐
zhoyfirst1的博客
08-13 1万+
映射容器端口到宿主主机的实现 默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器容器访问外部实现 容器所有到外部网络的连接,源地址都会被NAT成本地系统的IP地址。这是使用 iptables 的源地址伪装操作实现的。 查看主机的 NAT 规则。 $ sudo iptables -t nat -nL ... Chain
docker 端口映射iptables: No chain/target/match by that name错误解决方法
angaoux03775的博客
11-01 175
pkill docker iptables -t nat -F ifconfig docker0 down brctl delbr docker0 service docker restart 转载于:https://www.cnblogs.com/sevck/p/7766443.html
docker网络访问和端口映射
武子豪的博客
05-08 1913
docker网络访问和端口映射详细讲解。
动态docker端口映射
wang_kmin的博客
07-12 1409
这篇博客主要是记录一下docker配置问题的笔记,不一定适合所有配置,各位如果按照网上大多数人的配置配置完之后还是不能正常实现端口映射,可以将以下配置作为参考。因为之前我在按照网上许多教程配置的时候遇到许多问题,最终就是不能访问docker内部服务,经过一番摸索得出,记录一下,以后配置可作参考,也希望帮到更多人。 docker端口映射,百度之后一大堆都是说在docker run的时候通过-p设置
docker_iptables:帮助手动管理 Docker 容器iptables 端口映射的实用程序
06-11
该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 ...
Docker之轨迹】为正在运行中的容器动态添加端口映射(使用 iptables,附删除 iptables 规则)
Ice__Clean的博客
10-06 1592
需求 docker 中为容器添加端口映射只能在启动容器时(即 run)添加,而一旦启动完毕后,docker 就不再提供端口映射的功能,那我们可以绕开 docker,自己手动添加吗?答案是可以的! 一番查找后,我了解到 docker 添加端口映射实际上是基于 iptables 实现的,所以只要修改里边的映射规则,就可以作用到 docker 容器上了,步骤如下: ① 获取容器 IP 可以进入到容器,通过 ifconfig 拿到容器的 IP 地址,如下: 当然,如果有为容器固定 IP 地址的,话也可以直接用那.
使用iptables管理docker容器端口映射网络
weixin_34240520的博客
08-13 903
昨天写了篇文章是关于docker如何绑定静态的ip,使容器里面的ip是固定的ip地 址…. 另外关于绑定ip地址,我们也是可以在docker run的时候用 docker run -p ip:port:port的方式…. 他其实就是调用的iptables的方法… 原文链接是,http://xiaorui.cc/?p=1502 http://xiaorui.cc...
【备忘】运行中的docker配置端口映射规则(添加/删除)
明天,你又将身在何方……
08-24 1万+
(备忘)运行中的docker配置端口映射(添加/删除) 主机与docker中的端口转发是通过主机的iptables实现的 添加端口映射 a, 获取容器ip docker inspect $container_name | grep IPAddress b. 添加转发规则 iptables -t nat -A DOCKER -p tcp --dport $host_p
Linux iptables防火墙开放端口指令 docker 容器动态添加端口
Aesop的博客
06-30 2029
参考来源:https://www.cnblogs.com/luckyftt/p/7698085.html 例如: # 开放一个端口 9080 $ iptables -A OUTPUT -p tcp --sport 9080 -j ACCEPT $ iptables -A INPUT -p tcp --dport 9080 -j ACCEPT # 保存并重启 $ service iptables save && service iptables restart # 查看是否添加 $ iptab
iptables 应用初探(nat+三层访问控制)
郭晓檀的专栏
02-05 1226
 iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要说明的是,iptables操作的是2.4以上内核的netfi
iptables 常用使用命令
hietech的博客
08-28 1万+
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)
iptables实战
qq_50247813的博客
04-04 2970
部署具体操作参考:https://blog.youkuaiyun.com/qq_50247813/article/details/129269580。4、 开放22端口,并设置filter表INPUT默认禁掉所有不匹配的规则。实例2、只允许某个ip或者某个ip端的网络访问本机的80端口。1) 只允许192.168.44.1地址访问本机的80端口。1) 先来测试一下,不开发80端口是否可以访问。2) 限制某个ip段的网络访问本机的80端口。实例1、运行web服务开放80端口。2、 开放80端口并访问测试。
【Linux】防火墙iptables详解
须知少日拏云志,曾许人间第一流。
04-01 1780
防火墙是一种网络安全设备,用于监控和控制数据包在网络中的流动,以保护网络免受未经授权的访问、恶意攻击和其他安全威胁。防火墙可以是软件、硬件或组合体,其主要功能包括: 封端口封ip 实现NAT功能 共享上网 端口映射(端口转发),ip映射
docker端口映射 访问网页
03-15
### Docker端口映射配置教程及访问网页的方法 为了通过Docker端口映射访问网页服务,通常需要完成以下几个方面的操作: #### 1. 使用`docker run`命令指定端口映射 在启动容器时,可以使用`-p`参数来定义主机与容器之间的端口映射关系。例如,如果希望将宿主机的8080端口映射容器内的80端口(假设容器内运行的是Web服务),可以执行如下命令[^2]: ```bash docker run -d -p 8080:80 nginx ``` 上述命令会以后台模式启动一个Nginx容器,并将宿主机的8080端口映射容器内的80端口。 #### 2. 如果未绑定端口,则需手动配置iptables规则 当容器已创建但未绑定端口时,可以通过配置iptables实现端口转发功能。具体步骤如下: - **查找容器IP地址** 运行以下命令获取目标容器网络信息: ```bash docker inspect <container_id> ``` 在返回的结果中找到`NetworkSettings.IPAddress`字段对应的值作为容器的实际IP地址[^1]。 - **添加iptables规则** 假设要将宿主机的9090端口转发至容器中的80端口,可执行以下命令: ```bash iptables -t nat -A PREROUTING -p tcp --dport 9090 -j DNAT --to-destination <container_ip>:80 iptables -t nat -A OUTPUT -p tcp --dport 9090 -j DNAT --to-destination <container_ip>:80 ``` - **保存并生效iptables规则** 完成规则添加后,建议将其持久化存储以便重启后继续有效。对于某些Linux发行版,可能需要额外安装工具如`iptables-save`和`iptables-restore`。 #### 3. 访问网页的方式 一旦完成了端口映射或者iptables配置,就可以通过浏览器输入URL形式访问该页面了。比如,在前面的例子中,可以在本地机器上打开浏览器并访问 `http://<host_ip>:8080/` 或者 `http://<host_ip>:9090/` 来加载由Docker容器提供服务的内容。 --- ### 注意事项 尽管存在不显式声明 `-p` 参数却仍然可以从外部访问的情况,但这通常是由于默认桥接网络或其他特殊设置所致,并不是推荐的做法。因此,始终应该明确地设定好所需的端口映射策略以确保安全性以及可控性[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值