docker容器限定ip访问

最新推荐文章于 2025-03-02 21:39:53 发布
最新推荐文章于 2025-03-02 21:39:53 发布
阅读量3.8k 收藏 10
点赞数 2
分类专栏: docker Linux 文章标签: docker iptables Firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AMCUL/article/details/132260225
版权

docker容器限定ip访问

一、测试所需环境:

主机1:
ip:192.168.3.117
环境配置:docker、httpd(docker容器)
主机2:
ip:192.168.3.122

二、使用docker的 iptables 策略

默认情况下,允许所有外部源IP连接到Docker主机。要仅允许特定的IP(192.168.3.122)访问容器,需要在DOCKER-USER过滤器链中插入相应规则。具体命令如下:

  1. 查看DOCKER-USER的链中的规则信息
#显示DOCKER-USER的链中的规则信息
iptables -nL DOCKER-USER
  1. 主机1httpd容器的默认访问端口为80,首先要禁止所有IP访问docker的80端口
# 在主机192.168.3.117执行如下命令:(ens192 为本机网卡,以实际为准)
#禁止所有IP访问docker的80端口
iptables -I DOCKER-USER -i ens192 -p tcp --dport 80 -j DROP
  1. 限定主机2访问主机1的httpd容器,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)
#只允许192.168.3.122访问docker的80端口
iptables -I DOCKER-USER -i ens192 -s 192.168.3.122 -p tcp --dport 80 -j ACCEPT
#删除DOCKER-USER的链中的默认规则
iptables -D DOCKER-USER -j RETURN
  1. 保存新的DOCKER-USER策略,并设置iptables开机自启
#保存DOCKER-USER策略
service iptables save
#设置iptables开机自启,使策略永久生效
systemctl enable iptables.service
#或者
/etc/rc.d/init.d/iptables save

注: 通过iptables 命令设置的规则,默认是临时性的。若需要规则永久生效,则要将命令写入iptables配置文件之中。
使用此策略时,Firewall会被关闭

三、Docker使用iptables 与系统Firewalld之间的关系

Docker使用iptables来管理网络流量和端口转发。而Firewalld是CentOS/RHEL 7中默认的防火墙管理工具,它也使用iptables来实现规则。
当Firewalld激活时,它会自动配置iptables规则,并将iptables的管理权限交给自己。这就导致了Firewalld会屏蔽Docker容器的网络访问。这样会导致,在系统Firewalld限定ip访问后,容器的网络仍旧是任意ip均可访问。

四、冲突解决方案

禁用 docker 的 iptables 规则,使用系统的Firewalld

#在daemon.json文件加入以下命令,若没有该文件,需要创建一个
vi /etc/docker/daemon.json
{
"iptables":false
}

开启网络地址转换(NAT)

firewall-cmd --add-masquerade --permanent
#重新加载防火墙设置,使刚才添加的规则生效
firewall-cmd --reload

仅允许主机2访问主机1的80端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.3.122" port protocol="tcp" port="80" accept'
#重新加载防火墙设置,使刚才添加的规则生效
firewall-cmd --reload
#查看防火墙设置
firewall-cmd --list-all

重启docker

systemctl restart docker
容器技术 — Docker 容器网络与存储技术
烟云的计算
06-09 2419
CNM(Container Networking Model,容器网络模型)是 Docker 公司立足于开源生态之上提出的容器网络模型,其设计初衷是实现跨多种网络基础设施的应用可移植性,本质上是一个基于 Multi-Drivers Plugins 软件架构进行设计的抽象网络能力接口层。另外,在 exec ./srv1 之前,我们往往还需要进行一些一来服务的配置初始化操作,比如向 nacos 中写入预置的 srv1 服务的配置文件内容以保证 srv1 启动后能从 nacos 中读取到自己的配置文件。
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 2839
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
docker 限制ip访问端口
coderYJ的博客
12-19 1643
需求限制外网访问 docker的某个服务 经过查找 发现 ubuntu的 ufw 防火墙是无效的技术交流。
Docker网络模式实战
杜小帅的博客
03-02 656
docker提供了三种自定义网络驱动:bridgeoverlaymacvlanbridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlay和macvlan是用于创建跨主机网络桥接默认是单调递增桥接也支持自定义子网和网关"IPAM": {},},docker引擎在分配ip时时根据容器启动顺序分配到,谁先启动谁用,是动态变更的多容器互访用ip很显然不是很靠谱,那么多容器访问一般使用容器的名字访问更加稳定。
静茹docker容器的几种方法_Docker底层技术
weixin_34324114的博客
12-31 126
Docker核心解决的问题是利用LXC来实现类似VM的功能,从而利用更加节省的硬件资源来提供给用户更多的计算资源。同VM的方式不同, LXC并不是一套硬件虚拟化的方法,是无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个,而是一个操作系统级虚拟化方法,我们理解起来可能并不像VM那样直观。我们可以通过Docker要解决什么问题出发,看看Docker是怎样实现用户虚拟化需求的。Docker容器的内核...
iptables限制Docker IP和端口访问
SpringLei
07-25 1万+
等保整改安全加固时,使用iptabels限制docker端口不生效,限制docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。...............
docker容器端口限制ip访问不生效问题解决
weixin_39901938的博客
04-11 809
如果drop后其他非ip名单中机器还是可以通,则看下docker容器内端口是否与暴露端口一致,再用容器内端口drop即可。
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
在使用 docker 的过程中我不幸需要在 docker 容器访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) ...
docker学习之容器固定ip
qq_33619359的博客
02-10 4530
还是工作需要,要将容器1(nginx)的内容转发到容器2(圈选服务)中去。但是每次重启后,容器ip是根据启动顺序默认分配的。这篇主要解决的就是这个问题。 docker安装好之后,默认的网络是以下三种: docker network ls #查询网络类型 输出为 NETWORK ID NAME DRIVER SCOPE f1d971389785 bridge bridge local 01e96b6e9688 host host
Docker容器技术学习(一)
h21396577548的博客
11-20 714
Docker的初步认识,以及安装部署Docker
Docker容器-从最基础到Dockerfile、Docker-compose,有这一篇足够了!!!
h16678481的博客
06-20 2030
Docker从0-1,从小白-熟练使用容器的高手
禁止Docker容器访问外网
weixin_38950342的博客
04-16 5413
禁止Docker容器访问外网——用于实现类似于虚拟机的Host-only模式 假设docker的虚拟网卡docker0的网段是192.168.123.0/24,通过iptablesDOCKER-USER链添加规则: iptables --insert DOCKER-USER -s 192.168.123.0/24 -j REJECT iptables --insert DOCKER-USER -s 192.168.123.0/24 -m state --state RELATED,ESTABLISHED
docker ip限制_Confine 拍了拍你,问要不要强化下你的 docker 容器
weixin_35334000的博客
12-29 1423
作者|绿盟科技 NS-SRC 潘雨晨刚才那个拍了拍你的 Confine 是一个可为Docker镜像生成Seccomp配置文件的框架,它通过减小容器可能遭受的Linux内核攻击面来强化容器。总体目标是在保证容器及其内部应用正常运行的前提下,过滤掉容器不需要的所有系统调用(syscalls),以缓解来自内核的漏洞攻击。那么问题来了, docker 已经有默认的 Seccomp 配置文件,...
Docker容器内部禁止外网访问
u010389826的博客
12-27 1124
主要是最后的network配置,其他不相关的配置已注释。
docker下nginx自定义日志并限制ip访问
何超杰的博客
08-14 1264
一.Nginx部署 docker-compose.yml version: '2' services: nginx: image: 'nginx:latest' restart: always container_name: nginx ports: - '80:80' - '443:443' v...
开启防火墙 · 解决阻止docker容器访问外界IP |NAT转发
liyanggyang的博客
02-01 2436
防火墙组织Docker 容器内无法访问外网
docker教程:Docker容器内无法访问外网问题十种解决思路
热门推荐
学亮编程手记
10-07 2万+
tips: 由于环境不同,问题的解决方法也自然不同,下面是小编所在环境的解决方式^_^
解决Docker容器内无法访问外网问题
modelsetget的博客
08-09 2352
多种解决Docker容器无法访问外网的方法,并强调了由于环境差异,解决方案可能需要相应调整。
docker安装mysql8.0配置所用ip都可以访问
最新发布
03-30
### Docker中安装并配置MySQL 8.0以允许所有IP访问 #### 安装MySQL 8.0 可以通过Docker官方镜像来快速部署MySQL 8.0环境。以下是具体的命令: ```bash docker pull mysql:8.0 docker run --name=mysql8 -e MYSQL_ROOT_PASSWORD=123456 -d mysql:8.0 ``` 上述命令会拉取最新的MySQL 8.0镜像,并创建一个名为`mysql8`的容器,同时设置root用户的初始密码为`123456`。 为了验证容器是否正常运行,可执行以下命令: ```bash docker ps ``` 如果未正常启动,则可通过日志排查问题: ```bash docker logs mysql8 ``` --- #### 配置MySQL允许所有IP访问 ##### 修改绑定地址(bind-address) 默认情况下,MySQL只监听本地回环接口(127.0.0.1),需要将其改为监听所有网络接口(`0.0.0.0`)。 进入MySQL容器内部: ```bash docker exec -it mysql8 /bin/bash ``` 编辑MySQL配置文件 `/etc/mysql/my.cnf` 或者 `/etc/mysql/mysql.conf.d/mysqld.cnf` 文件中的 `bind-address` 参数[^3]: ```ini [mysqld] bind-address = 0.0.0.0 ``` 保存退出后重启MySQL服务使更改生效: ```bash service mysql restart ``` 注意:如果不挂载外部卷,默认的配置文件路径位于容器内的`/etc/mysql/`目录下。 --- ##### 设置用户权限支持远程访问 登录到MySQL数据库实例: ```bash mysql -u root -p ``` 执行SQL语句更新root用户的主机字段(host)为`%`(表示任意IP均可访问)[^1]: ```sql USE mysql; UPDATE user SET host='%' WHERE user='root'; FLUSH PRIVILEGES; ``` 此时,root账户可以从任何IP地址连接至该MySQL服务器。 --- #### 测试连接 在宿主机或其他机器上测试连接: ```bash mysql -h [容器IP] -P 3306 -u root -p ``` 其中 `[容器IP]` 是指Docker容器的实际IP地址,可以通过以下命令获取: ```bash docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' mysql8 ``` 如果能够成功连接,则说明配置完成。 --- #### 安全注意事项 1. **禁用不必要的功能**:确保关闭了防火墙或者仅开放必要的端口。 ```bash systemctl stop firewalld systemctl disable firewalld ``` 2. **限制访问范围**:虽然设置了`host=%`,但在生产环境中应尽量限定特定IP或子网访问[^5]。例如: ```sql GRANT ALL PRIVILEGES ON *.* TO 'root'@'[指定IP]' IDENTIFIED BY 'password'; FLUSH PRIVILEGES; ``` 3. **启用SSL加密通信**:对于敏感数据传输场景,建议强制使用SSL连接。 4. **定期审计日志**:监控错误日志(error_log)和查询日志(general_log),及时发现潜在威胁。 --- ### 总结 通过调整`bind-address`参数以及赋予适当用户权限,可以在Docker环境下实现MySQL对所有IP地址的开放访问。然而,在实际应用过程中需特别关注安全性,防止因过度宽松策略引发的数据泄露风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值