Docker与iptables 只允许特定ip访问Docker的服务

最新推荐文章于 2024-04-23 22:47:53 发布
最新推荐文章于 2024-04-23 22:47:53 发布
阅读量3.4k 收藏 12
点赞数 4
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liv2005/article/details/112850208
版权

Docker与iptables 只允许特定ip访问Docker的服务

怎样只允许特定ip访问Docker的服务?

方法一: 

Docker与iptables (在DOCKER-USER链中处理)
Docker至少会在iptables规则中自动安装两个新链,一个是DOCKER,一个是DOCKER-USER,可以通过如下方式查看
iptables -S -t nat 查看DOCKER链规则
iptables -S 查看DOCKER-USER链规则
随着docker版本不同,可能还会有其他链,但一般来说,我们应该只修改DOCKER-USER链即可。
如果想要对docker端口做访问限制,可以参考如下规则:

#只允许192.168.1.1访问docker的服务,其中ext_if是你机器上的实际网卡名
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP

#只允许网段192.168.1.0/24
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP

#只允许ip范围
iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP

原文链接:
Docker and iptables
https://docs.docker.com/network/iptables/

方法二:

Docker加入自定义iptables规则链(新建一个链加在FORWARD中进行处理)
https://www.cnblogs.com/jiftle/p/13821394.html

PS : 这位同学整理了iptables的详细文档,非常详细,推荐阅读。
https://www.kancloud.cn/jiftle/iptables-detailed-introduction/1972252

 

方法三:

iptables禁用docker暴露的端口(在nat表的DOCKER链中处理)
https://blog.csdn.net/u010544187/article/details/86698201


我选择的处理方法:

#我的eth1是外网网卡 eth0是内网网卡
#由于DOCKER-USER链上原本有一条RETURN规则,因此这里使用-I做插入

#提供访问的是外网ip,所以在eth1上做策略,不是白名单的就DROP
iptables -I DOCKER-USER -i eth1 ! -s 白名单ip -j DROP

#eth0对应的内网ip不开放,不允许访问
iptables -I DOCKER-USER -i eth0 -j DROP

#由于外网网卡提供业务,而业务回包也是从外网网卡走的,因此需要增加连接状态,如果是回包的话也允许通过
iptables -I DOCKER-USER -i eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT


#这样做的优点是
#1、符合官方文档,只操作DOCKER-USER链,相对优雅
#2、不用处理复杂的SNAT或DNAT规则
#缺点是:
#1、需要手动识别网卡,或者额外写一段bash识别不同机器的外网网卡。
#2、需要在iptables、docker启动之后,额外执行以上三句iptables

 

Liv2005
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过iptables限制docker 容器的运行端口
qq_30381077的博客
04-28 493
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。外部访问的数据包,其物理输入网口(如ens192),它是对外通信的网口。我们可以在此,插入只允许某个网络访问,或某个网络不能访问的规则。主机nacos容器的默认访问端口为8848,首先要禁止所有IP访问docker的8848端口。配置允许访问IP,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)#显示DOCKER-USER的链中的规则信息。#删除DOCKER-USER的链中的默认规则。#删除RETURN的规则。
docker 指定IP地址、与主机同网段IP
王道革的博客
09-29 4万+
首先讲一下docker的网络模式: 我们使用docker run创建容器时,可以使用--net选项指定容器的网络模式,docker一共有4中网络模式: 1:bridge模式,--net=bridge(默认)。 这是dokcer网络的默认设置。安装完docker,系统会自动添加一个供docker使用的网桥docker0,我们创建一个新的容器时,容器通过DHCP获取一个与docker0同网段的I
iptables限制Docker IP端口访问
SpringLei
07-25 9450
等保整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。...............
防火墙控制Docker端口开放与关闭
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
iptables限制宿主机跟Docker IP端口访问(安全整改)
m0_66406345的博客
04-05 949
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
docker容器限定ip访问
AMCUL的博客
08-13 2450
当Firewalld激活时,它会自动配置iptables规则,并将iptables的管理权限交给自己。这样会导致,在系统Firewalld限定ip访问后,容器的网络仍旧是任意ip均可访问。而Firewalld是CentOS/RHEL 7中默认的防火墙管理工具,它也使用iptables来实现规则。注: 通过iptables 命令设置的规则,默认是临时性的。若需要规则永久生效,则要将命令写入iptables配置文件之中。禁用 dockeriptables 规则,使用系统的Firewalld。
iptables配置docker服务端口访问限制
shay的博客
04-05 6430
服务器系统为 CentOS 7 PS:CentOS 7自带iptables,但不自带iptables-services,你有需要可以装,也可以不装,不影响本文的操作和阅读 遇到了一个需求,需要用iptables限制一个redis服务只能由指定的ip访问 似乎不难,于是网上查了一波,首先查到了这个 # 配置IPTABLES iptables -A INPUT -s 允许访问ip -p tcp --dport 6379 -j ACCEPT iptables -A INPUT -s 允许访问ip -p tcp
docker容器间访问问题(限局域网内使用)
微风灬浮尘
07-07 2555
docker容器间访问问题(限局域网内使用) 在使用docker部署容器的时候,想调用一下其他容器,看了网上一些方式介绍,觉得都不太适合我,最后找的一种方法: systemctl stop firewalld — 停掉防火墙 systemctl restart docker — 重启docker服务 这样docker各个容器直接就可以愉快的互相访问了。不过这种方式最好是在局域网内使用,外网环境关掉防火墙太危险了。 ...
Dockeriptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Dockeriptables规则在iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Dockeriptables及实现bridge方式网络隔离与通信操作
01-08
Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络...
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) ...
Docker容器中使用iptables时的最小权限的开启方法
01-10
Docker容器中使用iptables时的最小权限的开启方法 Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样...
Centos7系统安全漏洞怎么修复?(超详细修复方案)
jennycisp的博客
05-25 4688
一. 内网升级服务及命令版本方法内网环境,无法使用yum命令 —— 则离线升级安装rpm包Centos的rpm包地址(大多数包可在这找到):CentOS Mirror若是包版本不全,可使用此博客的4.1方法下载安装升级包:Docker系列之二:离线安装docker_sara的博客-CSDN博客_docker离线安装升级软件包命令:rpm会自动卸载相应软件包的旧版本// * 指代rpm包的名字// 此命令是离线升级安装软件包,若有网,则可以直接使用yum命令。
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2868
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
iptables实现docker容器动态端口映射实操
最新发布
m0_61230499的博客
04-23 826
之前在《Docker 动态修改容器端口映射的方法》一文中,说明了如何使用修改配置和加防火墙规则实现动态端口映射。但是没有具体分享加防火墙实现动态端口映射的实际案例。今天就分享一下实际操作案例,供大家参考。
iptables允许指定ip访问本机的指定端口
热门推荐
赵英超的博客
06-15 4万+
允许指定的ip访问本机的指定端口50070: 例如允许的的ip:192.168.1.123,192.168.1.124, 192.168.1.100,其他ip都禁止访问。   切换到root用户 iptables -F#清除预设表filter中的所有规则链的规则    1、在tcp协议中,禁止所有的ip访问本机的50070端口iptables -I INPUT -p tcp -
Docker容器学习梳理--容器间网络通信设置(Pipework和Open vSwitch)
weixin_33790053的博客
03-20 1383
  自从Docker容器出现以来,容器的网络通信就一直是被关注的焦点,也是生产环境的迫切需求。容器的网络通信又可以分为两大方面:单主机容器上的相互通信,和跨主机的容器相互通信。下面将分别针对这两方面,对容器的通信原理进行简单的分析,帮助大家更好地使用docker。前面已经在Docker容器学习梳理--基础知识(2)这一篇中详细介绍了Docker的网络配置以及pipework工具。 docker单主...
基于iptablesDocker网络隔离与通信详解
成长的足迹
03-27 2万+
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络。位于不同网络中的容器,彼此之间是无法通信的。Docker容器的跨网络隔离与通信,是借助了iptables的机制。 我们知道,iptables的filter表中默认划分为IPNUT, FORWARD和OUTPUT共3个链,详情请参考 iptables及其过滤规则。Docke...
docker 禁止修改iptables后,如何暴漏端口给其他ip访问
06-11
如果你已经禁止了Docker修改iptables的配置,并且想要将容器的端口暴露给其他IP地址访问,可以通过以下两种方式来实现: 1. 在Docker启动容器时,使用 `-p` 参数来指定要暴露的IP地址和端口。例如,运行以下命令来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值