iptables限制宿主机跟Docker IP和端口访问(安全整改)_docker容器访问主机端口 iptables

最新推荐文章于 2024-09-24 14:51:45 发布
最新推荐文章于 2024-09-24 14:51:45 发布
阅读量467 收藏 5
点赞数 5
文章标签: docker tcp/ip 安全 c# java vscode ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baimao__Ch/article/details/141020894
版权

一、常用命令

查看版本:
[root@iptables-server ~]# iptables -V 
iptables v1.4.21
配置文件:
 /etc/sysconfig/iptables-config 
 /etc/sysconfig/iptables   #记录规则文件	

#查看防火墙规则,显示规则行号
[root@iptables-server ~]# iptables -nL --line-number  
##指定行号删除,需要注意删除第一条规则后原来的第二条规则行号就会变成1,多次执行切勿删错
[root@iptables-server ~]# iptables -D INPUT 1   
# 规则保存
[root@iptables-server ~]# iptables-save
# service iptables save
# iptables-save > /etc/sysconfig/iptables
# iptables-restore < /etc/sysconfig/iptables
--参数解释
-L:列出一个链或所有链中的规则信息
-n:以数字形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
--line-numbers:查看规则时,显示规则的序号(方便之处,通过需要删除规则-D INPUT 1
-F:清空所有的规则(-X是清理自定义的链,用的少;-Z清零规则序号)
-D:删除链内指定序号(或内容)的一条规则
-P:为指定的链设置默认规则
-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则
-t: 指定表名,默认filter表
.... 更多参数可通过--help查看

二、宿主机网络限制

背景:漏洞扫描发现任意用户对目标服务通过访问URL获取内容或者单纯的想要限制/允许某个Ip或者某个网段进行访问

1、任意用户对目标服务通过访问URL获取内容
目标服务存在未授权访问漏洞,通过访问URL:http://192.168.180.140:8081/swagger-resources,获取内容如下
[root@xiaoliu ~]# curl -iv http://192.168.180.140:8081/swagger-resources
[root@xiaoliu ~]# curl -I 192.168.180.140:8081
:[{"name":"default","location":"/v2/api-docs","swaggerVersion":"2.0"}]

整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝
#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效

#192.168.180.140
[root@xiaoliu ~]# iptables -I INPUT -p tcp --dport 8081 -j DROP   #这种规则需要先执行
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.57.0/24 -p tcp --dport 8081 -j ACCEPT
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.60.0/24 -p tcp --dport 8081 -j ACCEPT
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.119.0/24 -p tcp --dport 8081 -j ACCEPT
2、允许某个Ip或者某个网段进行访问
[root@xiaoliu ~]# iptables -I INPUT -p tcp --dport 2375 -j DROP
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.119.0/24 -p tcp --dport 2375 -j ACCEPT

三、限制Docker 网络IP和端口访问

背景:整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptables对DOCKER-USER链做限制。

1、同网段只允许负载均衡机器跟控制主机机器访问算法服务器
iptables -I INPUT -p tcp --dport 48002 -j DROP
iptables -I INPUT -s 192.168.180.204 -p tcp --dport 48002 -j ACCEPT
iptables -I INPUT -s 192.168.180.215 -p tcp --dport 48002 -j ACCEPT
##此刻只执行上面命令发现同网段其余机器还是可以访问该算法的调用端口,此时需要对容器做限制
iptables -I INPUT -s 192.168.180.0/24 -j DROP
iptables -I INPUT -s 192.168.180.215 -j ACCEPT
iptables -I INPUT -s 192.168.180.204 -j ACCEPT
iptables -I DOCKER-USER -i eno1 -s 192.168.180.215 -p tcp  --dport  48002 -j ACCEPT
iptables -I DOCKER-USER -i eno1 -s 192.168.180.204 -p tcp  --dport  48002 -j ACCEPT
2、限制与Docker主机的连接

默认情况下,允许所有外部源IP连接到Docker主机。要仅允许特定的IP或网络访问容器,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。

#限制除192.168.1.1地址外的其他地址访问
$ iptables -I DOCKER-USER -i eno1 ! -s 192.168.1.1 -j DROP

#注意:eno1网卡需要按照你的实际情况填写

#限制除192.168.1.0/24网段外的其他地址访问
$ iptables -I DOCKER-USER -i eno1 ! -s 192.168.1.0/24 -j DROP

最后,您可以指定要接受的IP地址范围–src-range (请记住-m iprange在使用–src-range或时也要添加–dst-range):

#限制除192.168.1.1-192.168.1.3外的其他地址访问
$ iptables -I DOCKER-USER -m iprange -i eno1 ! --src-range 192.168.1.1-192.168.1.3 -j DROP

您可以结合使用-s或–src-range与-d或–dst-range一起控制连续源地址和连续目标地址。例如,如果Docker守护程序同时监听 192.168.1.99和10.1.2.3,则可以制定特定于10.1.2.3并保持 192.168.1.99打开的规则。

3、限制docker指定端口访问策略
禁止所有IP访问docker的389端口
iptables -I DOCKER-USER -i eth0 -p tcp --dport 389 -j DROP
允许172.27.30.92地址访问docker的389端口
iptables -I DOCKER-USER -i eth0  -s 172.27.30.92 -p tcp --dport 389 -j ACCEPT
4、DOCKER-USER常用命令
# 查询DOCKER-USER策略
[root@test ~]# iptables --line -nvL  DOCKER-USER 
Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        8   432 ACCEPT     tcp  --  eth0   *       172.27.30.92         0.0.0.0/0            tcp dpt:389
2       13   740 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:389
3      188 12524 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0  

# 删除DOCKER-USER策略
# 删除DOCKER-USER链第一条(num)规则
[root@test ~]# iptables -D DOCKER-USER 1

# 保存DOCKER-USER策略,默认临时生效
[root@test ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  确定  ]

telnet访问测试:
[root@zabbix_server ~]# telnet 127.0.0.1 8075
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection timed out

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

扫码领取

本文转自 https://blog.csdn.net/m0_66406345/article/details/137371812?spm=1001.2100.3001.7377&utm_medium=distribute.pc_feed_blog_category.none-task-blog-classify_tag-8-137371812-null-null.nonecase&depth_1-utm_source=distribute.pc_feed_blog_category.none-task-blog-classify_tag-8-137371812-null-null.nonecase,如有侵权,请联系删除。

baimao__沧海
关注
Ceph入门到精通-iptables 限制多个ip 的多个端口访问
隔壁老瓦的专栏
10-08 2850
是指你要限制IP范围,例如:192.168.1.100-192.168.1.200表示限制从192.168.1.100到192.168.1.200之间的IP。这将阻止这个IP范围内的主机访问这个端口范围内的端口。你可以根据需要修改IP范围和端口范围来适应你的具体情况。上面的命令将添加一条规则到INPUT链中,该规则将禁止指定IP范围访问指定的端口段。是指你要限制端口范围,例如:80:100表示限制80到100的端口范围;
docker小技能:容器IP宿主机IP一致( Nacos服务注册ip为内网ip,导致Fegin无法根据服务名访问 )、Dockerfile
iOS逆向与安全
11-13 1082
在 Linux 系统中,有两个特殊的进程,一个是 pid 为 1 的 /sbin/init 进程,另一个是 pid 为 2 的 kthreadd 进程,这两个进程都是被 Linux 中的上帝进程 idle 创建出来的,其中前者负责执行内核的一部分初始化工作和系统配置,也会创建一些类似 getty 的注册进程,而后者负责管理和调度其他的内核进程。容器和镜像的区别就在于,所有的镜像都是只读的,而每一个容器其实等于镜像加上一个可读写的层,也就是同一个镜像可以对应多个容器。镜像: 跨平台、可移植的程序+环境包。
iptables限制宿主机Docker IP端口访问安全整改
m0_66406345的博客
04-05 2353
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
Linux下如何用iptables限制某段IP访问服务器
最新发布
qq_30994477的博客
09-24 227
iptables限制某段IP访问服务器
通过iptables限制docker 容器的运行端口
qq_30381077的博客
04-28 1343
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。外部访问的数据包,其物理输入网口(如ens192),它是对外通信的网口。我们可以在此,插入只允许某个网络访问,或某个网络不能访问的规则。主机nacos容器的默认访问端口为8848,首先要禁止所有IP访问docker的8848端口。配置允许访问IP,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)#显示DOCKER-USER的链中的规则信息。#删除DOCKER-USER的链中的默认规则。#删除RETURN的规则。
iptables限制Docker IP端口访问
SpringLei
07-25 1万+
等保整改安全加固时,使用iptabels限制docker端口不生效,限制docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。...............
【Linux】简单使用 iptables 限制端口访问
Jweilai
11-25 8777
使用 iptables -L 查看当前环境的 iptables 规则 插入禁止访问的规则 对特定 IP 解除限制 最后再来查看规则添加情况 iptables 的规则是从上往下依次执行的, 如上面的例子,先ACCEPT(接受)192.168.157.12对8443端口访问; 再拒绝所有的其它 IP 对8443端口访问 ...
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
在使用 docker 的过程中我不幸需要在 docker 容器访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) ...
docker_iptables:帮助手动管理 Docker 容器iptables 端口映射的实用程序
06-11
该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 ...
一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历
09-09
这需要运维人员根据公司安全政策和具体需求来定制iptables规则,确保容器能够访问宿主机的同时,不会引入额外的安全风险。 总之,当在Docker的网桥模式下遇到无法访问宿主机服务的问题时,应检查网络配置、iptables...
解决宿主机无法访问docker内的服务及docker容器无法访问外网
JineD的博客
02-24 6475
今天宿主机一直无法访问 docker内的服务,重新安装了 docker服务也不行,根据网上的提示配置了很多东西,用docker info命令查看也没有任务异常,最后通过下面这些命令成功解决 原因:docker网卡地址冲突 brctl命令需要安装: yum install -y bridge-utils 解决: sudo service docker stop sudo ip link set dev docker0 down %关闭docker虚拟网卡 sudo brc......
iptables限制docker端口
u013231016的专栏
03-22 1859
前言:在linux上,docker映射了端口,想着对服务端口进行限制指定IP访问,发现在filter表的INPUT链限制无效。最后处理结果如下: 启动docker后,在防火墙上nat表上会自动生成如下配置: -A DOCKER ! -i docker0 -p tcp -m tcp --dport 8010 -j DNAT --to-destination 172.17.0.2:9091 将docker 9091端口映射到本机8010端口,现在需要对8010端口进行限制端口访问 在filter表中
iptables限制开放端口访问
weixin_46941625的博客
04-15 772
说明:6台服务器是一个k8s集群,8200端口是service暴露端口,转发到集群所有节点,所以iptables规则所有服务器都要执行。#开放所有node节点源地址10.165.10.x访问集群内的8200端口。#先单独对需要访问22的集群节点放行(一定得多开几个窗口)#在node节点上禁止所有IP访问8200端口。#以上步骤需要在集群内的所有节点执行一次。修复Es相关漏洞(8200端口)#然后屏蔽所有对22端口访问。###限制和开放某个网段访问。###限制8200端口访问。####禁止22端口访问
iptables屏蔽ip某个端口访问
喝醉酒的小白
07-15 6034
iptables屏蔽ip某个端口访问
centos7 iptables 限制访问docker容器
u014221090的专栏
03-10 1792
问题 :Centos7 下 Docker端口映射,导致端口绕过防火墙,对外全部开放 解决方法: 操作步骤 一 yum install iptables-services 操作步骤二 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 systemctl restart iptables.service
通过iptables限制docker容器端口
06-24 2223
如何限制docker暴露的对外访问端口 docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。 # 查询DOCKER表并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则,这里添加了允许访问ip限制...
iptables 限制ip配置
Enosji的博客
11-18 6854
介绍 很多时候我们都叫他防火墙但是其实iptables不算是真正的防火墙,我们其实可以把它理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,而这个安全框架才是真正的防火墙,这个框架名字叫netfilter。 netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间,我们用这个工具去操作真正的框架。 iptables功能非常强大且免费,这里只记录限制IP的功能 限
防火墙iptables实现端口限制
weixin_42107190的博客
12-13 5049
防火墙iptables实现端口限制 1.首先修改默认的iptables状态为DROP(禁止) #iptables default change to DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 2.当需要访问某一个端口时(例如 端口6666),打开端口6666 #INPUT iptabl...
[运维] iptables限制指定ip访问指定端口和只允许指定ip访问指定端口
热门推荐
梦醒贰零壹柒
06-07 1万+
iptables
Windows Docker容器内独立IP访问全攻略
在Windows 10环境下使用Docker for Windows时,有时我们需要突破常规的端口映射限制,让容器内的服务能够通过独立IP地址直接被局域网内的其他设备访问。通常,Docker的默认设置会创建一个虚拟网卡,并为容器自动分配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值