容器网路的核心技术iptables

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量373 收藏 1
点赞数
分类专栏: k8s+docker详解 文章标签: 运维 linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43179597/article/details/118333349
版权
本文深入解析容器网络实现原理,重点介绍iptables及其工作流程。探讨iptables如何利用netfilter进行包过滤及安全增强,并详细解释数据包从进入主机到被处理的全过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述容器网络到底是怎么实现的呢?答:借助iptables,iptables是linux的一个防火墙机制,实现了防火墙的包过滤,提高宿主机网络的安全性。
iptables是基于linux的netfilter机制实现的,iptables就是一个用户态的工具,实际上都是在操作netfilter。
iptables的工作流程:
在这里插入图片描述数据包从开始进入本机–>首先会进入iptable的NAT表中,prerouting链决定这个包要不要被修改,这个链是需要用户自定义的,如果匹配到了就去修改,如果不匹配就不修改–>然后再经过路由选择(包里有目标ip和目标端口),路由决定这个包到哪里(是需要将包发到宿主机的某个服务上,还是通过iptables将包转发到另一个地方)我们一般将规则放在INPUT链中,就是数据包的近战,就是谁可以访问我本机的应用,谁不可以访问我本地的应用。

iptables -vnL //查看当前filter中的所有路由表
iptables-save //查看所有的iptables执行命令

在这里插入图片描述

docker port 容器id //查看容器的端口映射详情
iptables -t nat -vnL DOCKER //查看nat表的路由详细信息,链docker

SNAT容器访问外部,修改元ip为宿主机ip向外发出:
在这里插入图片描述
iptables -t nat -vnL POSTROUTING //查看放通了哪个网段出去,每创建一个容器就会放通一个网段。
当前主机所有数据包源ip来自于172.0.0.0/16这个网段的都要做源地址转换。
在这里插入图片描述
为甚么没有用SNAT,而是使用了MASQUERADE,因为MASQUERADE是动态源地址转换,SNAT是固定ip。
外部访问容器:
DNAT 目标地址转换,修改数据包目的ip:在这里插入图片描述

【云原生进阶之容器】第一章Docker核心技术1.10节——Docker网络模型设计
junbaozi的专栏
12-22 1339
Docker实现的容器技术中,针对网络这一块他抽象出一个模型来,就叫CNM(Container Networking Model),相当于只实现了一个框架,具体的实现可以使用原生Docker的,也可以自己实现然后接入本框架。其中libnetwork是Docker团队将Docker的网络功能从Docker的核心代码中分离出来形成的一个单独的库,libnetwork通过插件的形式接入CNM为Docker提供网络功能。
企业化运维(8)Docker容器技术
最新发布
weixin_46927961的博客
07-28 1604
自定义网络模式,docker提供了三种自定义网络驱动:• bridge• overlay• macvlanbridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlay和macvlan是用于创建跨主机网络。建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。自定义网络查看自定义网络地址段查看使用--ip参数可以指定容器ip地址,但必须是在自定义网桥上,默认的 bridge模式不支持,同一网桥上的容器是可以互通的。
理解容器之间的连通性(涉及iptables、router、ip forwarding)
liukuan73的专栏
11-25 3672
https://www.cnblogs.com/CloudMan6/p/7087765.html 通过前面小节的实践,当前 docker host 主机的网络拓扑结构如下图所示,今天我们将讨论这几个容器之间的连通性。 两个 busybox 容器都挂在 my_net2 上,应该能够互通,我们验证一下: 可见同一网络中的容器、网关之间都是可以通信的。 my_
iptables
kej_linux的博客
06-03 550
iptables中内置五个表: filter:过滤表,也是默认表 nat:地址转换表 mangle raw security 内核中内置五链: PREROUTING INPUT FARWORD OUTPUT POSTROUTING 用户可以自定义链 查看本机iptables的filter表的规则 #本机默认关掉了firewalld,并且没有添加任何规则 [root@localhost ~]#...
Linux网络服务之iptables防火墙工具
这是博客的简介的简介
08-20 1016
I P T A B L E S
iptables-nvL查看linux系统的所有ip和端口情况教程。
高性价比服务器就选:蓝易云
07-25 914
请注意,使用iptables需要具有管理员权限。如果你没有权限或遇到问题,请以管理员身份运行命令或联系系统管理员寻求帮助。执行命令后,将显示当前系统的防火墙规则和过滤表。输出结果将包含各种规则和策略,以及与IP和端口相关的信息。要查看Linux系统的所有IP和端口情况,可以使用iptables工具和相应的命令。通过阅读输出,你可以了解系统中配置的IP和端口规则。
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 7370
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
详解Docker使用Linux iptables 和 Interfaces管理容器网络
01-20
我使用docker至今已有... Docker广泛使用linux iptables和网桥接口,这篇文章是我如何用于创建容器网络的总结,大部分信息来自github上的讨论,演示文稿,以及我自己的测试。文章结尾我会给出我认为非常有用的资料链接
容器SDN技术与微服务架构实践
03-30
Docker Bridge是一种容器网络解决方案,它的原理是使用Linux Bridge实现二层包交换,并通过iptables进行NAT地址转换和路由转发。然而Docker Bridge也存在一些问题,如重启后IP地址的变化,IP地址无法跨主机迁移,...
容器化进阶Kubernetes核心技术
张文慧 期待每一天更好的自己
02-22 329
1 Pod详解 Pod是Kubernetes的最重要概念,每一个Pod都有一个特殊的被称为”根容器“的Pause容器。Pause容器对应的镜像属于Kubernetes平台的一部分,除了Pause容器,每个Pod还包含一个或多个紧密相关的用户业务容器。 Podvs应用 每个Pod都是应用的一个实例,有专用的IP Pod Vs容器 一个Pod可以有多个容器,彼此间共享网络和存储资源,每个Pod ...
iptables使用
花落花开,春去秋来!
12-14 642
iptables的使用格式; iptables -L -n -v --line-numbers 显示规则序列号,如果需要删除规则的话,只需删除编号即可 iptables -t filter -L -n 显示当前默认规则链 [root@www ~]# iptables -t filter -L -n Chain INPUT (policy ACCEPT) target prot
iptables命令
m0_57730097的博客
12-06 1564
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定链 iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定链 iptables -D 链名 规则序号 删除指定规则 iptables -I...
Linuxiptables(NAT表)讲解篇
qq_62311779的博客
06-18 4954
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT表: ——查看iptables配置 SNAT(源地址转换):...
ubuntu下子网组建实践及NAT实现子网穿透
丰年留客的专栏
11-27 1371
iptableslinux下功能强大的防火墙配置工具。利用它可以实现对IP包的过滤、重定向、修改等操作。本着学以致用的目的,以自己的笔记本为中心搭建了一个小的局域网来学习具体的操作,加深自己对iptables工具和linux路由系统的理解。 一、简单介绍iptables linux下通过 man iptables就可以看到iptalbes的使用手册。简单列一条以说明其命令结构。 iptab
iptables nat及端口映射
精诚所至
02-27 1万+
iptables 应用初探(nat+三层访问控制)iptables 是一个Linux 下优秀的nat +防火墙工具,我使用该工具以较低配置的传统pc 配置了一个灵活强劲的防火墙+nat系统, 小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables 同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要...
删除iptables nat 规则
热门推荐
06-22 1万+
删除iptables nat 规则删除一条nat 规则iptables -t nat  -D POSTROUTING  1让openstack 虚拟机上网的规则iptables -t nat -A POSTROUTING -s 172.28.101.111/255.255.255.0 -o ens33 -j MASQUERADE开启路由转发echo "1" > /proc/sys/net/i...
iptables_nat篇(三)
02-22 1042
target:SNAT,DNAT,MASQUERADE       互联网是由众多局域网组织连接起来的,但是私网地址不能直接访问互联网,如果每台主机都配置公网地址就不够用了,因此需要用到地址转换功能,有两种情况: 作为服务器端,要接受客户端的请求,而客户端访问的是公网地址,而服务器端是私网地址,于是需要将公网地址转换为对应的私网地址,这就是所谓的DNAT作为客户端,比如公司内部的局域网内的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值