docker iptables详解

最新推荐文章于 2024-05-14 09:47:59 发布
最新推荐文章于 2024-05-14 09:47:59 发布
阅读量1.9k 收藏 7
点赞数 1
分类专栏: Docker容器技术 微服务 文章标签: docker 服务器 网络
原文链接:https://blog.csdn.net/WuLex
版权

该环境安装了docker ,并启动了一个容器做了端口映射

docker数据如何经过iptables

接着来梳理,数据经过iptables 是如何处理的。首先需要了解iptables 的组成:
iptables 有4表(raw、mangle、nat、filter)5链(prerouting、input、forward、output、postrouting

查看各个表命令
# 表功能解析
Filter表:过滤数据包
NAT表:用于网络地址转换(IP、端口)
Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表:决定数据包是否被状态跟踪机制处理

iptables -t raw -nL
iptables -t mangle -nL
iptables -t nat -nL
iptables -t filter -nL

5链解析

INPUT链——进来的数据包应用此规则链中的规则[过滤所有目标地址是本机地址的数据包(过滤进入主机的数据包)]
OUTPUT链——外出的数据包应用此规则链中的规则[处理所有源地址是本机地址的数据包(从本机发出去的数据包)]
FORWARD链——转发数据包时应用此规则链中的规则[负责转发流经主机的数据包,起转发的作用]
PREROUTING链——对数据包作路由选择前应用此链中的规则
POSTROUTING链——对数据包作路由选择后应用此链中的规则

综上,Linux将用户规则依据功能和规则所处链路位置进行分组,“四表”存放着功能一致的规则,“五链”存放着数据包所处链路一致的规则。
这四个表分别存放什么功能的规则?如下归类:
在这里插入图片描述

进入本篇正题:

docker数据经过iptables 需要按顺序经过5链进行处理。看下图:
在这里插入图片描述

  1. 首先数据经过prerouting表,由于 raw、mangle表都为空,所以可以直接看nat表的prerouting 链:

nat

iptables -t nat -nL

从下图顺序可以看到通过nat表中的prerouting链,将所有访问本地地址的数据都匹配到Docker 链;
而Docker 这里有DNAT 规则,将访问宿主机的这些端口的数据转发到了对应的容器当中172.20.x.x:port

在这里插入图片描述

  1. 再到input链,其中mangle表为空,直接看nat、filter表中的input链:

结合从上图(nat表)中可以看到natinput链以及下图(filter表)中的input链都没做任何规则

iptables -t filter -nL

在这里插入图片描述

  1. 再接着到output链,raw、mangle为空,直接查看natfilter表中的output

从上可以看到 nat 表中的output链将所有目的地址为非环回地址的本地地址数据匹配到Docker链,然后重复DNAT

再到filter表中的output链没有做任何规则

  1. 最后到postrouting 链,mangle 为空

nat表中POSTROUTING将目标容器地址的返回数据通过MASQUERADE(自动化SNAT)做动态转发出去,而目标地址为对应容器ip的,则转发到对应容器映射的外部端口上

风神.NET跨平台
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
困扰多年的Dockeriptables的恩怨,今天解决了
吴大锤的专栏
01-30 2261
快看,新年第一解!困扰多年的Dockeriptables的恩怨,今天终于解决了
深入剖析DockerIptables之间的来龙去脉
lzbshaaa的博客
01-31 1526
深入剖析DockerIptables之间的来龙去脉
学习iptables 学习查看docker网络配置
最新发布
勤不了一点
05-14 107
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
Dockeriptables命令的使用
热门推荐
morris
11-09 4万+
iptables中,可以创建自定义链(Custom Chains)来组织和管理防火墙规则。自定义链可以以更高层次和更好的可读性来管理规则,使配置和维护更加简单。创建链mychain此时filter表中多了一条MYCHAIN链。禁止的网段访问本机,丢弃源地址的流量。将所有传入TCP端口80的流量传递到MYCHAIN自定义链进行处理。如果不调用自定义的规则链,则自定义的规则链无效。
《Linux运维总结:基于Centos系统使用iptablesdocker容器配置防火墙策略》
东城绝神
11-09 6567
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
docker重启iptables策略失效
qq_43665434的博客
09-27 3531
docker重启iptables策略失效,--iptables=false禁用后又阻断了容器进程,最后问题已解决
docker iptables 问题
qq_53361826的博客
09-28 948
docker出现driver failed programming external connectivity on endpoint
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
详解Docker使用Linux iptables 和 Interfaces管理容器网络
01-20
我使用docker至今已有... Docker广泛使用linux iptables和网桥接口,这篇文章是我如何用于创建容器网络的总结,大部分信息来自github上的讨论,演示文稿,以及我自己的测试。文章结尾我会给出我认为非常有用的资料链接
Docker网络详解及pipework源码解读与实践1
08-03
Docker网络详解Docker网络Docker容器通信的核心机制,它允许容器在不同的网络环境中互相连接并访问外部服务。Docker提供了多种网络模式,以满足不同场景下的需求: 1. **桥接网络(Bridge Network)**:这...
Docker 网络工作原理详解
09-30
此外,还需要配置`iptables`规则,允许数据包在不同网络之间转发。 总的来说,Docker网络工作原理涉及了虚拟网络设备、桥接网络、容器间通信、DNS解析以及主机与容器的网络隔离。理解这些概念对于管理和优化Docker...
Docker基础-19-网络-bridge模式和docker0详解.rar
09-16
在Bridge模式下,Docker通过网络命名空间和iptables规则实现了容器间的隔离。每个容器都有自己独立的网络命名空间,无法直接访问其他容器的网络资源,除非通过特定的端口映射。iptables规则则控制着网络流量,确保了...
linux+docker配置iptables
qqjjj的博客
12-05 1834
linux docker iptables
docker网络
BWL1998的博客
06-27 1435
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信。Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器,如果容器不希望外部
docker宿主机iptables配置
weixin_34293059的博客
01-25 7077
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker来配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
Docker 网络详解
03-15
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。而本套课程主要讲解docker容器网络的各种构建方式,比如单台主机内的容器通信,及多台主机间的容器通信的主流实现方式。主要讲解Docker 网络以下几个方面:  1.  Linux的虚拟桥和虚拟网卡、网络名称空间等。  2.  Docker网络的基础知识。  3.  用户自定义的网络  4.  Docker和openvswitch虚拟交换机的集成。  5.  容器dns相关配置  6.  容器网络通信的相关安全  7.  容器和flannel网络集成  8.  容器网络的相关排错注意:本课程学习需要具有一定的Linux基础、网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker相关知识点。
docker容器内无法访问宿主机服务
人望山丶鱼窥荷的博客
05-08 676
上文:新申请的服务器(centos7,防火墙关闭中)安装了最新的docker(20.10.6),然后容器内部无法访问宿主机部署的服务 解决方法: 启动防火墙 sudo systemctl start firewalld.servic 把docker0网卡加入trusted sudo firewall-cmd --permanent --zone=trusted --change-interface=docker0 重新加载配置 sudo firewall-cmd --reload
利用iptablesDocker绑定一个外网IP
时鹏飞的专栏
07-27 8228
背景由于docker默认是不能够与外部进行直接的通信,比较普遍的仿佛是利用启动时-p来与主机进行端口映射与外界沟通。但是有时候在有其他需求时并不太方便,特别是在进行一些docker打包之前的内部开发时,希望其能够像虚机一样能够与外部有很好的通信,便希望其能够绑定外部的IP地址。 docker默认的网络是桥接在创建好后的网桥docker0上的。docker0默认的典型地址为172.17.42.1,子
docker iptables
09-07
Dockeriptables的结合为我们提供了强大而灵活的网络能力。Docker会自动完成与iptables相关的配置,因此在使用Docker时,我们可能没有太关注到iptables的作用。 Docker可以通过启用或关闭iptables来影响网络的使用。当关闭Dockeriptables支持时,不会输出任何规则。而当开启Dockeriptables支持时,会有相关规则的输出。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值