Docker与iptables 只允许特定ip访问Docker的服务
怎样只允许特定ip访问Docker的服务?
方法一:
Docker与iptables (在DOCKER-USER链中处理)
Docker至少会在iptables规则中自动安装两个新链,一个是DOCKER,一个是DOCKER-USER,可以通过如下方式查看
iptables -S -t nat 查看DOCKER链规则
iptables -S 查看DOCKER-USER链规则
随着docker版本不同,可能还会有其他链,但一般来说,我们应该只修改DOCKER-USER链即可。
如果想要对docker端口做访问限制,可以参考如下规则:
#只允许192.168.1.1访问docker的服务,其中ext_if是你机器上的实际网卡名
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP
#只允许网段192.168.1.0/24
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP
#只允许ip范围
iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP
原文链接:
Docker and iptables
https://docs.docker.com/network/iptables/
方法二:
Docker加入自定义iptables规则链(新建一个链加在FORWARD中进行处理)
https://www.cnblogs.com/jiftle/p/13821394.html
PS : 这位同学整理了iptables的详细文档,非常详细,推荐阅读。
https://www.kancloud.cn/jiftle/iptables-detailed-introduction/1972252
方法三:
iptables禁用docker暴露的端口(在nat表的DOCKER链中处理)
https://blog.csdn.net/u010544187/article/details/86698201
我选择的处理方法:
#我的eth1是外网网卡 eth0是内网网卡
#由于DOCKER-USER链上原本有一条RETURN规则,因此这里使用-I做插入
#提供访问的是外网ip,所以在eth1上做策略,不是白名单的就DROP
iptables -I DOCKER-USER -i eth1 ! -s 白名单ip -j DROP
#eth0对应的内网ip不开放,不允许访问
iptables -I DOCKER-USER -i eth0 -j DROP
#由于外网网卡提供业务,而业务回包也是从外网网卡走的,因此需要增加连接状态,如果是回包的话也允许通过
iptables -I DOCKER-USER -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
#这样做的优点是
#1、符合官方文档,只操作DOCKER-USER链,相对优雅
#2、不用处理复杂的SNAT或DNAT规则
#缺点是:
#1、需要手动识别网卡,或者额外写一段bash识别不同机器的外网网卡。
#2、需要在iptables、docker启动之后,额外执行以上三句iptables