看图解说
要做到网络互通,首先你必须对整个网络拓扑结构有了解。笔者为你们画了出来了。基本结构就是这样。
首先必须强调的概念是。这些网络当中,
要让我们的dockerMachine帮我们转发请求,必须在docker-machine 上面最端口转化,因为docker-machine 上面有两张网卡,一张 对外,一张对内。在其上,可以做端口映射,如将该机器上的端口50222 映射到Container1上的22端口
因为dockerMachine在外面可以访问,所以可以通过开放端口,映射目标地址的方式。
研究的方法
1.首先导出Iptables
通过iptables-save >before.txt
2.通过尝试添加一个redis容器,并将容器的6379端口映射到外部的56379端口,
导出iptables
3.通过iptables-save >>after.txt
得到before.txt 与after.txt。比较这两个文件
在nat 表中,添加了如下的记录。
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 6379 -j MASQUERADE
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 56379 -j DNAT --to-destination 172.17.0.2:6379
在filter 表中,添加了如下的记录
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 6379 -j ACCEPT
在nat表中的第一条,表示,在下图的filter链
的PostRouteing ,一般是数据包向外发送的。这个一般看作是docker容器中的请求发送给dokcerMachine ,dockerMachine充当路由器的角色,将对数据包的源地址进行转化成为本机地址,我们称之为MASQUERADE,也就是自动替换(如果是路由器将会替换成公网地址)。本条我们就不必关注了。
关注nat的第二条-A DOCKER ! -i docker0 -p tcp -m tcp --dport 56379 -j DNAT --to-destination 172.17.0.2:6379这一条在nat 的DOCKER链中,添加了一条规则,这条规则是,
! -i docker排除docker0接口来的请求-p tcp只支持tcp 传输协议-m tcp使用 tcp 扩展模块的功能 (tcp扩展模块提供了 --dport, --tcp-flags, --sync等功能)--dport 56379表示目标端口是本机的56379端口-j DNAT目标地址转化,目标地址可能是本机,需要转化成为172.17.0.2 所以后面跟着一个--to-destination 172.17.0.2:6379后面跟着一个转化目标地址,表示数据包的请求的目标地址与端口转化成为规则制定的那样。
照猫画虎
sudo iptables -t nat -A DOCKER ! -i docker0 -p tcp -m tcp --dport 50222 -j DNAT --to-destination 172.17.0.3:22
然后尝试着请求一下50222端口(前提是你的172.17.0.3容器开22端口,否则还是不会通的!!!)
发现果然没有通,让我们来分析一下原因,数据包在经过docker-machine 的时候,目标地址确确实实被转化了,但是源地址没有转化呀!你随便丢一个网段来的数据包我就给你访问,这不是搞笑吗?
所以分析filter表里面新增的iptables规则描述。
同样我们可以写出一条新的。
sudo iptables -t filter -A DOCKER ! -i docker0 -p tcp -m tcp --dport 22 -j ACCEPT
尝试着访问,果然是ok,好了,本教程到此结束,望读者能举一反三。
245
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
