如何在CentOS7上使用防火墙保护Docker容器的端口

已于 2024-04-28 23:43:34 修改
阅读量1.1k 收藏 18
点赞数 18
文章标签: docker 容器 运维
于 2024-02-13 13:50:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arvinrong/article/details/136106440
版权
文章讲述了在CentOS7.9上使用Docker时,firewalld防火墙对Docker容器开放的0.0.0.0端口无效的问题。解决方法包括删除和重建DOCKER-USER链,以及配置特定的iptables规则以限制网络访问。
摘要由CSDN通过智能技术生成

防火墙设置对Docker容器内开放的端口无效?

在主机或虚机上运行Docker容器时,即便主机启用了firewalld服务,仍然存在一些安全隐患,尤其是当Docker容器内打开端口并监听0.0.0.0时,存在即使通过firewall-cmd配置了阻止某些端口被外部访问也不生效的问题,firewall-cmd配置阻止的端口实际测试下来还是公开并对所有请求开放的。

我测试的场景:在CentOS 7.9上安装了Docker版本20.10.17,并运行了一个Docker容器,该容器在3000端口上打开并监听0.0.0.0。我通过systemctl start firewalld启动了firewalld服务,并配置防火墙只允许外部访问22端口。按理说,这样配置后服务器上的3000端口应该无法从外部访问,但实际测试结果却相反,其他服务器成功访问了3000端口。

问题分析

Docker 控制容器网络访问的一种方式是通过在 iptables 中维护一个名为 "DOCKER-USER" 的特定链条。默认情况下,Docker 在 "DOCKER-USER" 链中添加的规则是允许所有 IP 地址访问的,这可能会带来潜在的安全风险。值得注意的是,“DOCKER-USER”链是在 Docker 服务启动时自动添加的。并且在防火墙重启时会删除这个链,重新启动docker服务会重新添加。

解决方案

  1. 停止docker服务 
    systemctl stop docker
  2. 删除并手动重建DOCKER-USER链 
    firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER
  3. 添加docker相关防火墙规则,其中172.17.0.0/16根据容器使用的docker network决定,可以通过docker network ls命令查看docker网络,然后通过docker network inspect bridge (bridge是选定的网络名)查看网络信息,网络信息中找到类似这样的部分  "Subnet": "172.17.0.0/16" 
    firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -m conntrack \
  --ctstate RELATED,ESTABLISHED -j ACCEPT \
  -m comment --comment '允许容器内访问外部网络'

firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -j RETURN \
  -s 172.17.0.0/16 \
  -m comment --comment '允许容器内部通信'
  4.  添加具体端口开放策略,例如 
    firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 \
  -o docker0 \
  -p tcp -m multiport \
  --dports 3000 -s 172.31.23.2/32 -j ACCEPT \
  -m comment \
  --comment '允许172.31.23.2访问容器开放的3000端口'
  5. 添加阻止其他到DOCKER-USER链的请求,重启docker服务自动添加的允许所有的规则会在这个规则后,也就是不会生效了。 
    firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 -j REJECT -m comment --comment '阻止所有其他到DOCKER-USER的请求'
  6.  重启防火墙 firewall-cmd --reload
  7.  启动docker服务 systemctl start docker

参考:https://roosbertl.blogspot.com/2019/06/securing-docker-ports-with-firewalld.html

创作不易  请作者喝杯咖啡~

Arvin_Rong
关注
  • 18
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh <<'EOF' #!/bin/bash iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT i
docker容器无法访问宿主机端口的解决
01-08
最近在工作时遇到一个问题,docker容器无法访问宿主机的redis,telent6379端口不通。 经排查发现,该服务器启用了防火墙防火墙把6379的端口的访问授权给docker0网卡访问即可。 操作如下: firewall-cmd –...
CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
CentOS 7上当我们以类似下列命令将主机端口容器端口映射时可能遇到无法访问容器服务的问题 docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0 . 由于docker在执行此命令时,是向iptables注入了一条规则将主机803映射到容器80端口,但是CentOS 7中以firewalld服务替代了iptables。因此,上述命令的端口映射不会生效。 解决方法:首先观察一下主机上的网卡信息,确认增加了一个docker0的虚拟网卡: [root@localhost /home]# ifconfig dock
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 7831
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
docker端口映射成功,docker端口不生效的问题解决,外界无法访问docker映射端口
最新发布
qq_35840262的博客
05-10 808
docker端口映射不生效,运行成功的容器在外界浏览器无法运行和访问,端口不生效,但是docker本身显示端口已映射成功
Centos7防火墙设置(限制Docker
Think in Java
04-07 751
IP127.0.0.1可以访问9200端口
(三) Docker 常用操作 与 CentOS7 防火墙命令等
madmarszff的博客
09-17 682
(三) Docker 常用操作 与 CentOS7 防火墙命令等 参考并感谢 Docker 常用命令 https://docs.docker.com/engine/reference/commandline/docker/ Docker 登录docker账户 docker login -u 用户名 -p 密码 根据本地待上传镜像 修改新镜像,新镜像名称需要与hub中的repositor...
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
MR.骑士道
11-03 893
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
解决Centos7 Firewalld无法限制docker端口问题
Hu_wen的专栏
08-15 1619
在配置文件 /etc/docker/daemon.json 文件中添加"iptables": false。然后重新加载docker服务配置。再重启docker服务。
Docker容器端口映射后突然无法连接的排查过程
01-10
一般需要对外提供服务的Docker容器,我们在启动时后使用-p命令将对外访问端口暴露给外部,例如启动Docker Registry,我们将5000端口映射出来供外部访问: docker run -d -p 5000:5000 registry 但最近碰到一个非常...
ufw-docker-automated:使用UFW管理Docker容器防火墙
02-06
用UFW管理Docker容器防火墙! 如果使用docker,您可能知道docker的publish port函数(例如: docker -p 8080:80 )直接与iptables对话并相应地更新规则。 这与Ubuntu / Debian的ufw防火墙管理器发生冲突,并使其变...
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) ...
详解CentOS 7 : Docker私有仓库搭建和使用
01-20
系统环境: CentOS 7.2 192.168.0.179:Docker仓库 ...防火墙添加运行5000端口 iptables -I INPUT 1 -p tcp --dport 5000 -j ACCEPT 下载完之后我们通过该镜像启动一个容器 代码如下: docker run -d -p 500
CentOS7下Docker重启容器防火墙因重置失效的解决方式
PushyTao的博客
05-06 1339
在重启容器后,容器会重新挂载,不仅会导致/etc/下的某些文件失效,还会导致之前关闭的防火墙重新关闭,解决方式: 如果说我们需要修改/etc/hosts里面的东西,可以在~/.bashrc里面添加: echo "要添加的内容" >> /etc/hosts 这里必须要是>>,表示追加到需要修改的文件中 如果说我们需要在开机便将防火墙关闭,有很多种方式可以做到这里我们可以修改/etc/rc.local 将关闭防火墙的命令systemctl stop iptables.service写入
linux firewall 对docker暴露的端口无效 问题解决
weixin_44670774的博客
04-11 1359
firewall对docker暴露出去的端口不生效,明明没有将docker暴露的端口放到public域,docker暴露的端口仍然能被外部访问。更加严重的问题是,不在firewall配置的白名单中的ip也能访问。
Centos7+防火墙+SS+Docker
lovePaul77的博客
06-14 2099
一:firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 :systemctl enable firewalld 安装net工具:yum...
docker配置firewall防火墙
qqjjj的博客
09-25 1256
【代码】docker配置firewall防火墙
(CentOS 7)Docker:安装&配置
K_Zombie的博客
01-19 6112
安装docker 说明:此次安装没有根据官网安装教程的步骤进行,而是直接yum install安装。安装docker yum install docker 关闭防火墙 service firewalld stop 启动服务 service docker start 设置开机启动 systemctl enable docker 配置docker 说明:swarm是通过docker api而进行
CentOS 7 Docker 防火墙简单配置
weixin_33991418的博客
12-21 1432
禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh...
centos7使用docker安装freeradius和daloradiu
05-17
以下是在 CentOS 7 上使用 Docker 安装 FreeRADIUS 和 Daloradius 的步骤: 1. 安装 DockerCentOS 7 上安装 Docker 的方法可以参考官方文档:https://docs.docker.com/engine/install/centos/ 2. 下载 FreeRADIUS 镜像 执行以下命令: ``` docker pull freeradius/freeradius-server ``` 3. 运行 FreeRADIUS 容器 执行以下命令: ``` docker run --name freeradius -d -p 1812-1813:1812-1813/udp freeradius/freeradius-server ``` 这个命令会运行一个名为 freeradius 的容器,并将容器的 1812 和 1813 端口映射到主机上的相应端口。 4. 下载 Daloradius 镜像 执行以下命令: ``` docker pull daloradius/daloradius ``` 5. 运行 Daloradius 容器 执行以下命令: ``` docker run --name daloradius -d --link freeradius:freeradius -p 80:80 daloradius/daloradius ``` 这个命令会运行一个名为 daloradius 的容器,并将容器的 80 端口映射到主机上的相应端口。--link 参数将 freeradius 容器链接到 daloradius 容器中。 6. 访问 Daloradius 在浏览器中访问 http://your_server_ip/daloradius,即可进入 Daloradius 的登录页面。 默认的用户名和密码为: ``` Username: administrator Password: radius ``` 注意:如果您使用的是防火墙,请确保已经打开了相应的端口

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值