docker防火墙管理

最新推荐文章于 2023-07-07 17:27:01 发布
最新推荐文章于 2023-07-07 17:27:01 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 运维之道 docker和k8s 文章标签: centos docker iptables 容器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linxi7/article/details/121631274
版权

docker环境
容器业务,新增docker网卡,所以防护策略有所变化

(1,执行iptables-save > /etc/sysconfig/iptables保存现有的防护规则

(2,增删改查规则直接在/etc/sysconfig/iptables进行调整,然后iptables-restore < /etc/sysconfig/iptables加载到现网

(3,在rc.local启动配置里面添加iptables-restore < /etc/sysconfig/iptables,这样服务器重启的时候直接加载正确的防护策略

(4,如果服务器有误操作执行了 /bin/iptables.sh,覆盖了现有的防火墙规则,可以执行 iptables-restore < /etc/sysconfig/iptables进行恢复

(5,部署业务之前,先确认容器中有哪些服务和端口,然后和开发进行核对哪些端口需要对外,哪些端口只需要对内的

(6,提前在/etc/sysconfig/iptables文件中配置好不需要对外的端口防护规则(容器默认起来对外)

(7,iptables-restore < /etc/sysconfig/iptables加载策略,然后开始部署docker业务

(8,后续的维护基本上针对/etc/sysconfig/iptables,/bin/iptables.sh这个就不用了

eg,比如mysql和redis的端口只对内开放,可以编辑/etc/sysconfig/iptables,然后进行restore加载

#mysql
-A DOCKER -s 172.223.0.1/24 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -s 172.17.0.1/24 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -p tcp -m tcp --dport 3306 -j DROP
##redis
-A DOCKER -s 172.223.0.1/24 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -s 172.17.0.1/24 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT
-A DOCKER -p tcp -m tcp --dport 6379 -j DROP
乱弹世界
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置防火墙规则实现 WSL2 访问 Windows 主机服务
小康子的博客
06-15 3342
配置 Win 11 的防火墙,实现 WSL2 访问宿主机上的各种服务。
ufw-docker-automated:使用UFW管理Docker容器防火墙
02-06
ufw-docker-automated 用UFW管理Docker容器防火墙! 如果使用docker,您可能知道docker的publish port函数(例如: docker -p 8080:80 )直接与iptables对话并相应地更新规则。 这与Ubuntu / Debian的ufw防火墙管理器发生冲突,并使其变得无用。 (换句话说,在Centos / Redhat / Fedora的firewalld )。ufw不知道他们的秘密谈话,只做他所知道的。 这在UFW和Docker防火墙问题上造成了很大的混乱。 为了解决这个问题,很多人说这不是码头工人的问题。 然而,泊坞窗并未“修复”
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其支持基础架构的攻击面。 但是,这并不意味着不应对安全的容器保持警惕。 除了遵循减轻容器安全风险的安全实践外,使用容器的安全实践还应使用边缘安全性来保护容器。 部署到容器中的大多数应用程序都以某种方式通过暴露的端口连接到Internet。 传统上,应用程序是由诸如统一威胁管理(UTM)之类的边缘设备保护的,该设备可提供包括应用程序保护在内的一系列保护服务。 尽管容器的性质
Windows系统上使用WSLDocker
weixin_57242378的博客
06-06 1047
本文是网盘在学习Linux中所记录的笔记。本文涵盖WSL的使用教程以及Docker的使用教程,以及Linux相关的内容。
docker高级应用之智能添加与修改防火墙规则
weixin_34242331的博客
03-12 240
如果你有以下痛苦:1、使用默认docker0桥接方式;2、修改防火墙规则的话,使用手动修改配置;3、并且修改时候还得计算来源端口,防止重复端口使用户登陆错误容器;4、并当容器意外重启,内网ip变化后还得修改规则那么你可以看看本文了,对你这些痛处都有解决方法。目前docker容器设置访问规则的话,就2个方法1、在docker容器创建的时候,使用-p来设置2、在容器运行中,获取容器的ip,然后在宿主机...
docker配置firewall防火墙
qyq88888的专栏
07-07 2028
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问,1、Dokcer禁用。
防火墙控制Docker端口开放与关闭
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
Docker防火墙问题
weixin_50762970的博客
08-11 4107
Docker防火墙问题
docker 映射端口穿透内置防火墙
伟庭的博客
06-29 2108
docker 映射端口穿透内置防火墙
docker命令操作以及防火墙的开启和关闭
ben_grf的博客
02-22 6814
在Debian系统中,默认没有安装防火墙,可以通过清空防火墙策略,删除相关屏蔽规则。在CentOS 7、Red Hat和Alibaba Cloud Linux 2。3.把attached后台运行的容器转换为前台detached运行模式。说明:[$Iptables]为防火墙策略的备份文件地址。注意:清空策略前,请务必备份防火墙策略。依次执行以下命令,备份防火墙策略。执行以下命令,清空防火墙策略。1.停止运行所有的容器。2.删除正在运行的容器
Docker入门之安装Docker.pdf
01-14
CentOS7防火墙默认采用的是firewalld管理netfilter子系统,底层调用的仍然是iptables命令,firewalld实际是iptables的一个封装。不同的防火墙相互间存在冲突,使用某其中一个时应禁用其他的。 谨记:容器运行在...
范围:对Docker和Kubernetes的监视,可视化和管理
02-02
容器交互和管理 直接与您的容器进行交互:暂停,重新启动和停止容器。 启动命令行。 所有这些都无需离开示波器浏览器窗口。 通过插件扩展和自定义 通过创建范围插件,为主机,容器和/或进程添加自定义详细信息或...
git2docker.io
06-08
Git2Docker.io 使用开箱即用的最佳实践部署应用程序和管理容器。 自动完成所有手动完成的过于复杂、昂贵或耗时的事情。 因为它是开源的。 Git2docker 是一个简化的软件,你只需要一个 git 客户端,有了 git2docker...
Linux查看Buffer&Cache被哪些进程占用
热门推荐
linxi7的博客
10-14 1万+
Buffer和Cache Buffer 是缓冲区,而 Cache 是缓存,两者都是数据在内存中的临时存储。 Buffer 是对磁盘数据的缓存,而 Cache 是文件数据的缓存,它们既会用在读请求中,也会用在写请求中。 从写的角度来说,不仅可以优化磁盘和文件的写入,对应用程序也有好处,应用程序可以在数据真正落盘前,就返回去做其他工作。 从读的角度来说,既可以加速读取那些需要频繁访问的数据,也降低了频繁 I/O 对磁盘的压力。 如何查看Buffer&Cache使用率高的进程有哪些 推荐一个工具hc
nginx根据post请求参数做转发
linxi7的博客
07-23 1万+
在工作中遇到了根据post请求做转发的需求,决定使用nginx来完成。 1.源码安装nginx,带上form-input-nginx模块 wget http://nginx.org/download/nginx-1.16.0.tar.gz tar -zxvf nginx-1.16.0.tar.gz cd nginx-1.16.0/ git clone http://github.com/simp...
Centos升级jdk到1.8
linxi7的博客
06-30 1万+
1.下载jdk1.8 链接地址:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html 下载成功之后放到 /usr/local/include 目录下并且解压 2.配置系统环境变量 在/etc/profile文件末尾加入以下关于jdk1.8的配置: 这里有个地方需要注...
Centos7上安装Redmine-3.4项目管理软件
linxi7的博客
01-31 6826
1.安装系统包和部分软件包 yum -y install patch make gcc gcc-c++ gcc-g77 flex* bison file yum -y install libtool libtool-libs libtool-ltdl-devel* autoconf kernel-devel automake libmcrypt* yum -y install lib
系统内存还有很多的情况下为何swap使用很高了
linxi7的博客
10-10 6776
Swap是什么 Swap就是把一块磁盘空间或者一个本地文件,当成内存来使用。 换出,就是把进程暂时不用的内存数据存储到磁盘中 换入,就是在进程再次访问这些内存的时候,从磁盘中读取到内存 Swap其实是把系统的可用内存变大了,这样即使服务器的内存不足,也可以腾出空间来运行大内存的应用程序。 既然Swap是为了回收内存,那么Linux会在什么时候需要回收内存呢?它又是怎么来衡量内存是不是紧张或者压力大呢? 内存回收是什么? 内存回收是子系统释放掉可以回收的内存 缓存和缓冲区,他们在内存管理中,叫做文件页
企业微信API&群机器人配置
linxi7的博客
03-12 5302
我们公司用的企业微信,会把相关开发或者运维拉到一个群里,然后配置上一个群机器人,这样的话就可以用企业微信API来配置群机器人接收消息,把一些日常的服务器或者日志告警发送到对应的群。 以下介绍两种常用的消息发送类型:文本类型和文件类型 发送文本类型的消息 文本消息示例 { "msgtype": "text", "text": { "content": "广州今日天气:29度,大部分多云,降雨概率:60%", "mentioned_list":["wangqi
docker 防火墙
最新发布
09-16
配置 Docker 防火墙,可以使用 iptables 命令或者使用防火墙管理工具,如 firewalld 或 ufw。以下是一些常用的操作: 1. 允许进入容器的特定端口: ``` $ iptables -A DOCKER-USER -p tcp --dport <port> -j ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值