在docker中调整iptbles白名单限制访问机器

最新推荐文章于 2024-04-18 01:36:06 发布
原创 最新推荐文章于 2024-04-18 01:36:06 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #运维

本文介绍了如何通过Docker的iptables规则限制外部IP对容器特定端口的访问,创建了一个包含白名单IP和允许访问端口的脚本,以及注意事项,如新容器需添加策略和宿主机服务的限制方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.docker默认的流量走向

内容参考优快云文章的流程图

根据内容大概得知访问容器内的端口是需要通过DOCKER-USER表,因此限制访问容器端口的白名单IP就可以通过在 DOCKER-USER表中添加规则就可以限制其他IP进行访问

2.牛刀小试
[root@localhost docker_iptables]# ls -l                                                             
total 12                                                                                            
-rw-r--r-- 1 root root  197 Aug 18 17:48 iplist_docker                                              
-rw-r--r-- 1 root root 1678 Aug 18 17:40 iptables_docker_user.sh                                    
-rw-r--r-- 1 root root   33 Aug 18 17:35 port_list
  • iplist_docker 存放限制的IP白名单
10.10.8.2/32                                                                                        
10.10.9.2/32
  • port_list 存放允许白名单访问的容器暴露的端口
9092
19848
3306
18848                                                                                               
15672                                                                                               
9090
  • iptables_docker_user.sh 存放生成iptables的脚本命令
iptables -F DOCKER-USER

for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 9092 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 19848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 3306 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 18848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 15672 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 9090 -j ACCEPT ;done

for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 9092 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 19848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 3306 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 18848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 15672 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 9090 -j ACCEPT ;done

for i in `cat port_list`;do iptables -D DOCKER-USER -s 0.0.0.0/0 -p tcp --dport $i -j DROP;done
for i in `cat port_list`;do iptables -A DOCKER-USER -s 0.0.0.0/0 -p tcp --dport $i -j DROP;done
  • 执行 iptables_docker_user.sh 脚本可生成的结果
[root@localhost docker_iptables]# iptables -nvL DOCKER-USER
Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       10.10.9.2            0.0.0.0/0            tcp dpt:9092
    0     0 ACCEPT     tcp  --  *      *       10.10.8.2            0.0.0.0/0            tcp dpt:9092
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9092
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:19848
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:18848
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:15672
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9090
3.注意事项

1). 新建容器后DOCKER-USER会新增一条RETURN的策略在表内最底层,需要将新增容器的访问策略添加到脚本内,执行脚本刷新访问策略
2). DOCKER-USER 只能限制IP访问容器暴露的端口,宿主机的服务无法进行限制,需要通过INPUT进行限制

4.参考链接
Docker(十八):Docker Swarm —弹性伸缩调整服务的副本数量
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
03-27 3万+
🟢Docker(十八):Docker Swarm —弹性伸缩调整服务的副本数量
Docker 容器内部如何访问本机的服务
最新发布
洛阳泰山的博客
12-31 2492
容器内部,使用host.docker.internal代替localhost或127.0.0.1。,这是默认的Docker桥接网络地址。但是,具体地址可能会根据你的网络配置而变化,可以通过。请根据你的实际网络配置(包括Docker网络设置和宿主机的操作系统)来确定正确的地址。这个地址在Docker 18.03及以上版本的Windows和Mac上可用。要让Docker容器访问宿主机上的服务,可以使用特殊的网络地址。确保你的Docker版本至少是18.03。不可用,你需要使用宿主机的IP地址,通常是。
iptables限制开放端口访问
weixin_46941625的博客
04-15 1048
说明:6台服务器是一个k8s集群,8200端口是service暴露端口,转发到集群所有节点,所以iptables规则所有服务器都要执行。#开放所有node节点源地址10.165.10.x访问集群内的8200端口。#先单独对需要访问22的集群节点放行(一定得多开几个窗口)#在node节点上禁止所有IP访问8200端口。#以上步骤需要在集群内的所有节点执行一次。修复Es相关漏洞(8200端口)#然后屏蔽所有对22端口的访问。###限制和开放某个网段访问。###限制8200端口访问。####禁止22端口访问
docker微服务添加iptables白名单
weixin_43723044的博客
08-10 2757
docker微服务添加iptables白名单前提简介对iptables功能及个人看法INPUTFORWARDOUTPUT后续说明 前提简介 因漏洞整改需要对docker微服务做处理,但经常修改配置处理漏洞并不是好办法,最好是能通过白名单添加处理。然后最常用的iptables,但实际上iptablesdocker存在联系且有影响,细节上不讨论。 对iptables功能及个人看法 首先iptables三个大块INPUT、FORWARD和OUTPUT,这里是个人测试后使用三大块添加。 INPUT 对进入的过滤
Docker加入白名单
u012632105的博客
07-22 1459
docker exec -it zk /bin/bash apt-get update apt-get install vim vim bin/zkServer.sh # 在其中添加: ZOOMAIN="-Dzookeeper.4lw.commands.whitelist=* ${ZOOMAIN}" ,然后保存退出 JMXLOG4J=true fi echo "ZooKeeper remote JMX Port set to $JMXPORT" >&2 e.
docker容器里的nginx设置白名单
foreverjiu的博客
05-25 709
注意:仅解决不通过网桥模式的nginx设置白名单 1.查看容器id docker ps 2.查看安装nginx的配置文件的路径 docker inspect 容器名 3.进入容器内部 docker exec -it 容器名 bash 4.进入第二步所找到的配置文件的路径进行修改配置文件 这个可以放在nginx.conf中server或者location下面,这两种白名单范围各有不同 allow 192.168.0.1; deny all; ...
Docker 入门第一篇 安装Docker Desktop并结合Springboot在Idea中应用
Java 技术专栏,从入门到精通,熟悉企业级开发
02-01 1万+
至此,Docker 入门第一篇 安装Docker Desktop并结合Springboot在Idea中应用就完结了,全程基本上都是傻瓜式操作,不需要动脑,快速的把第一个演示项目跑起来。
Docker中安装 MongoDB并开启外网访问
telltao的博客
11-20 3045
Docker 安装 MongoDB 并开启外网访问 docker pull mongo:latest docker images 在docker中运行这个实例 docker run -itd --name mongo -p 8082:27017 mongo --auth 启动docker docker exec -it mongo mongo iot 登录 db.auth(‘admin’, ‘admin’) 进入mongo docker exec -it mongo bash 连
Docker】完美解决拉取镜像超时报错:ERROR: Get https://registry-1.docker.io/v2/
热门推荐
liu_chen_yang的博客
02-20 10万+
因为我们下载的镜像是外网的镜像资源,所以下载的速度会非常的慢,甚至大概率下载时会报错,所以需要我们配置一个国内的服务器镜像地址,国内服务器镜像地址有很多,这里咱们就说一下阿里镜像加速器的配置方法。
修改docker私库的地址(设置docker访问白名单
supertor的博客
10-18 1万+
1、进入虚拟 docker bash 中: docker-machine ssh default 2、 打开并编辑 /var/lib/boot2docker/profile 文件中的 EXTRA_ARGS 信息: sudo vi /var/lib/boot2docker/profile --insecure-registry xxx.xxx.xxx.xxx:yyy //在 --label ...
【Linux】简单使用 iptables 限制端口访问
Jweilai
11-25 9677
使用 iptables -L 查看当前环境的 iptables 规则 插入禁止访问的规则 对特定 IP 解除限制 最后再来查看规则添加情况 iptables 的规则是从上往下依次执行的, 如上面的例子,先ACCEPT(接受)192.168.157.12对8443端口的访问; 再拒绝所有的其它 IP 对8443端口的访问 ...
【linux 学习】使用iptables限制访问初步抵御DDOS、CC攻击等
小鼠标的博客
02-13 654
iptables 匹配规则是顺次匹配,只要匹配到就【REJECT(拒绝)、ACCEPT(允许)】 iptables 匹配规则是倒叙插入,先匹配最新的规则 [root@xypt-activeback ~]# iptables -I INPUT -p tcp --dport 443 -s XXX.XXX.XXX.XXX -j ACCEPT [root@xypt-activeback ~]# i...
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 3061
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
linux限制指定ip禁止访问指定端口,linux设置iptables禁止某个IP访问
04-18 2398
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?Ping 洪水***(Ping of Death)3、现在给你三百台服务器,你怎么对他们进行管理?
elasticsearch配置密码、docker数据迁移、IP白名单
suqinyi的博客
09-28 2658
es配置密码es的版本切换和数据迁移本文环境说明:基于 docker在6.8之前免费版本并不包含安全认证功能,6.8及以后免费开放。
docker-compose 网络配置- IP 主机名 hosts配置
qq_33256751的博客
09-28 8316
docker-compose ip、hostname、hosts配置
iptables 限制ip配置
Enosji的博客
11-18 6995
介绍 很多时候我们都叫他防火墙但是其实iptables不算是真正的防火墙,我们其实可以把它理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,而这个安全框架才是真正的防火墙,这个框架名字叫netfilter。 netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间,我们用这个工具去操作真正的框架。 iptables功能非常强大且免费,这里只记录限制IP的功能 限
iptables--白名单配置
weixin_30752377的博客
06-11 254
1.服务器22端口和1521端口开通给指定IP [root@node2 sysconfig]# iptables -t filter -nL INPUT Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值