linux防火墙 docker,防火墙 – docker容器的iptables配置

最新推荐文章于 2024-07-05 16:38:51 发布
最新推荐文章于 2024-07-05 16:38:51 发布
阅读量760 收藏
点赞数
文章标签: linux防火墙 docker

我使用Docker 0.7.0在RedHat Enterprise

Linux 6.5上创建容器.当防火墙关闭时,容器可以与外界通信,但是当防火墙打开时,无法从外部访问容器.

这就是我运行docker并将端口从主机映射到容器的方式

$docker run -i -t -p 3838:3838 shiny "shiny-server"

没有防火墙,我可以从外部网络访问在端口3838上的容器内运行的Node.js服务器,如http:// servername:3838,但不能打开防火墙.

这些是我的默认防火墙规则 –

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

我尝试通过添加如下规则来打开端口3838,但它不起作用

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3838 -j ACCEPT

Docker正在主机上创建虚拟NAT,我感觉防火墙阻止了从eth0到docker 0的数据包转发

我需要帮助配置iptables,以便可以从外部网络访问docker容器,而无需关闭整个防火墙.

这是$ifconfig的输出(我掩盖了服务器IP)

docker0 Link encap:Ethernet HWaddr 00:00:00:00:00:00

inet addr:172.17.42.1 Bcast:0.0.0.0 Mask:255.255.0.0

inet6 addr: fe80::87d:8dff:fed0:f16d/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:408321 errors:0 dropped:0 overruns:0 frame:0

TX packets:681809 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:126511933 (120.6 MiB) TX bytes:924200959 (881.3 MiB)

eth0 Link encap:Ethernet HWaddr 00:25:64:A8:5B:8F

inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.240.0

inet6 addr: XXXX::XXX:XXXX:XXXX:XXXX/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:29786186 errors:0 dropped:0 overruns:0 frame:0

TX packets:1137982 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:4209047011 (3.9 GiB) TX bytes:234657696 (223.7 MiB)

Interrupt:17

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:8444 errors:0 dropped:0 overruns:0 frame:0

TX packets:8444 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:4701771 (4.4 MiB) TX bytes:4701771 (4.4 MiB)

$docker版本的输出:

Client version: 0.7.0

Go version (client): go1.1.2

Git commit (client): 0ff9bc1/0.7.0

Server version: 0.7.0

Git commit (server): 0ff9bc1/0.7.0

Go version (server): go1.1.2

Last stable version: 0.7.2, please update docker

$docker信息的输出:

Containers: 321

Images: 278

Driver: devicemapper

Pool Name: docker-8:17-13239310-pool

Data file: /var/lib/docker/devicemapper/devicemapper/data

Metadata file: /var/lib/docker/devicemapper/devicemapper/metadata

Data Space Used: 56464.5 Mb

Data Space Total: 102400.0 Mb

Metadata Space Used: 59.5 Mb

Metadata Space Total: 2048.0 Mb

linux防火墙 docker,docker容器下的防火墙
weixin_32911063的博客
05-12 1550
笔者在旷视科技从事私有云平台开发,在工作中遇到了在服务器上防火墙无法阻止docker容器bridge模式下服务的问题。背景常见的linux防火墙方式为在iptables的INPUT链,设置白名单,端口或者ipsudo iptables -L INPUT -nv --line如图所示, 防火墙对于10.199.1.26, 10.122.104.147, 10.199.1.25 三个为可通行ip, 以...
Docker防火墙问题——不让docker创建iptables规则
bland107的博客
07-26 533
所以就会出现防火墙没有开放端口,但容器启动后会自己开放,且在firewalld上是没有记录。在某一天,线上被扫出来一个服务漏洞,但是那个服务漏洞的端口不在firewalld防火墙上开放,查了大半天,发现docker自动会在iptable上面添加规则。有的到时候创建容器会因为eslinux的存在,到时一些奇奇怪怪的报错,所以这里先进行关闭。默认情况下当Docker启动容器映射端口时,会直接使用iptables开启添加端口。这里可以看出是docker的问题,所以需要修改docker配置
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh <<'EOF' #!/bin/bash iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT i
docker宿主机iptables配置
weixin_34293059的博客
01-25 7739
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
linux防火墙 docker,如何在linux配置DockerSwarm的Linux防火墙-防火墙在哪里设置
weixin_42181319的博客
05-12 735
介绍Docker Swarm是Docker的一个功能,可以轻松地在规模上运行Docker主机和容器Docker Swarm或Docker集群由一个或多个Dockerized主机组成,它们作为管理器节点和任意数量的工作节点。设置这样的系统需要仔细操纵Linux防火墙Docker Swarm正常工作所需的网络端口有:TCP端口2376用于安全Docker客户端通信。Docker Machine可以...
docker的4种网络模型
mtldswz312的博客
11-04 1362
实现原理 Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。 Docker网桥是宿主机虚拟出来的,并不是...
Linux运维总结:基于Centos系统使用iptablesdocker容器配置防火墙策略》
东城绝神
11-09 7660
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
ufw-docker-automated:使用UFW管理Docker容器防火墙
02-06
用UFW管理Docker容器防火墙! 如果使用docker,您可能知道docker的publish port函数(例如: docker -p 8080:80 )直接与iptables对话并相应地更新规则。 这与Ubuntu / Debian的ufw防火墙管理器发生冲突,并使其变...
docker iptables配置
xcdsy@aliyun.com
05-30 5501
启动一个有nat映射端口的容器iptables 报No chain/target/match by that namedocker run -d -p 2181:2181 -p 2888:2888 -p 3888:3888 garland/zookeeper Error response from daemon: Cannot start container 565c06efde6cd4411
学习iptables 学习查看docker网络配置
勤不了一点
05-14 708
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
Docker防火墙
随便分享些什么....
03-25 1532
docker防火墙
Docker 配置守护进程和容器网络 - Dockeriptables
kikajack的博客
03-07 1704
原文地址 在 Linux 上,Docker 操纵 iptables 规则来提供网络隔离。这是一个实现细节,你不应修改 Docker 插入到你的 iptables 策略中的规则。 1. 在 Docker 的规则之前添加 iptables 策略 所有 Dockeriptables 规则都被添加到 DOCKER 链中。不要手动操作此表。如果你需要添加在 Docker 规则之前加载的规则,请将...
iptables 规则配置docker 场景配置
何xiao树
01-08 1789
iptable配置docker场景配置
linux防火墙 docker,docker遇到防火墙报错问题解决方法
weixin_39854730的博客
05-12 245
-- 报错信息[root@localhost docker]# docker run -d -p 5000:5000 training/webapp python app.pycc61442060cb810633a06bd6ea692a3df6b0bfcadc6a7dadfe53bf875f1ac3b9docker: error response from daemon: driver faile...
部署过docker后,防火墙firewall与iptables的基本指令
ljytower的博客
07-05 835
详情参考:https://blog.youkuaiyun.com/yeqinghanwu/article/details/125979997。如果服务器中部署了docker,优先选用iptables。一、iptables【无需stop docker服务】docker容器iptables冲突问题。-重启防火墙(修改配置后要重启防火墙)-设置iptables开机自启。-设置开放针对某ip的某端口。-安装iptables。-启动iptables。-关闭docker服务。-开启docker服务。-开启docker服务。
Docker安全防护与配置
aming
02-17 2503
Docker Daemon 启动的服务对外提供的是 HTTP 接口,为了增强 HTTP 连接的安全性,我们通过设置 TLS 来认证客户端是可信的,只有通过证书验证的客户端才可以连接 Docker Daemon。(1)创建容器: 通过 LInux 系统自带的隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,对权限、CPU 资源等进行控制,最终实现容器之间互不影响。的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。这些 API 并不涉及用户账户和用户认证。
五、Dockeriptables绕过firewalld的问题
dears-app的博客
01-01 1532
Dockeriptables绕过firewalld的问题
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
linux 关闭防火墙 重启docker
最新发布
01-01
### 关闭防火墙并重启Docker服务 在Linux中操作涉及两个主要部分:一是临时关闭防火墙;二是随后重启Docker服务以确保其正常运作。 对于CentOS 7,firewall作为管理工具位于iptables之上,当此服务被重启或重新加载时会清除由其他应用程序(如Docker设置iptables规则[^1]。这意味着一旦firewalld进行了更改,可能会影响到依赖于特定iptables配置的服务,比如Docker容器间的网络连接。 为了防止这种情况发生,并使所做的改变生效,可以在调整防火墙状态之后通过`systemctl`命令来重启Docker服务: ```bash sudo systemctl stop firewalld # 停止firewalld服务 sudo systemctl disable firewalld # 防止开机自动启动firewalld sudo systemctl restart docker # 重启docker服务以便恢复任何丢失的iptables规则 ``` 上述命令序列首先停止正在运行中的firewalld实例,接着将其设为不随系统引导而激活的状态,最后强制刷新Docker所使用的iptables链路,以此解决因防火墙变动引起的问题[^5]。 值得注意的是,在某些情况下仅需简单地重载而非完全重启Docker即可解决问题,但如果遇到更复杂的情况则建议采取更为彻底的方法——即全面重启该服务[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值