Docker与Firewalld冲突怎么办?教你几招搞定docker网络

最新推荐文章于 2024-04-12 15:22:18 发布
最新推荐文章于 2024-04-12 15:22:18 发布
阅读量9.3k 收藏 30
点赞数 2
分类专栏: 运维 云计算 文章标签: docker centos iptables firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37682535/article/details/117750525
版权

docker-ce默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信和容器与宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。

具体冲突的原因见Docker官方文档:点此进入。官方也在这篇文章中提供了在docker节点中自定iptables规则的有效方式,也提供了一些坑的细节。

以下提供了几种解决方案,相信总有一种适合你:

第一种方式:按顺序重启firewalld与docker

仅限于利用firewalld限制docker映射之外的端口,如果是docker使用了该端口,则firewalld配置无效,如果想要对docker使用的端口进行限制,这种方式是不合适的。当启动firewalld出现冲突的时候,首先重启firewalld,然后重启docker,注意顺序不可以反过来。这是最垃圾的一种方式,当然如果它能解决燃眉之急的话也不错。

第二种方式:在DOCKER-USERchain中添加规则

DOCKER-USER 链中添加的规则会先于DOCKER链生效,因此在这个链中手动添加规则将会生效。这是最推荐的方式,没有之一。

1、不要尝试去手动修改DOCKER链,这样可能会使docker网络出现问题。
2、注意添加的规则要插在DOCKER-USER链的顶部,默认情况下所有到达docker主机的连接都会被允许。
3、限制条件就是,如果端口不是在Docker中开放的,比如22端口,那么在DOCKER链中插入规则不会生效,需要在INPUT链中设置规则。

几个示例:

## 限制 192.168.3.0/24 网络防止3306端口
iptables -I DOCKER-USER -s 192.168.3.0/24 -p tcp --dport 3306 -j DROP
## 拒绝来自所有主机的连接,除了192.168.1.1,注意修改外网卡地址
iptables -I DOCKER-USER -i eth0 ! -s 192.168.1.1 -j DROP
## 当然也可以只允许一部分IP
iptables -I DOCKER-USER -i eth0 ! -s 192.168.1.0/24 -j DROP
iptables -I DOCKER-USER -m iprange -i eth0! --src-range 192.168.1.1-192.168.1.3 -j DROP

第三种方式:最新版本的Docker支持与firewalld共存

前提:Docker版本大于等于 20.10.0,
Docker在最新的版本里自动创建了一个名为docker的 firewalld zone,并把它的所有网络接口(包括docker0)加入到了这个区域里面,执行下面的命令将你的docker0接口移到docker区域。

# Please substitute the appropriate zone and docker interface
firewall-cmd --zone=trusted --remove-interface=docker0 --permanent
firewall-cmd --reload

几个大坑

  • Docker节点可以做路由节点?NO!Docker默认将FORWALD链的规则设置为DROP,所有转发链最终都通向思路。如果实在是要做路由功能,尝试执行下面的命令。
iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT

当然最好不要用docker节点做路由,它承担的太多了。

  • 你可以在docker 的配置文件daemon.js中设置iptables选项为false来阻止docker 使用iptables,但是这个选项并不适用于大多数用户,它会使得docker的容器网络变得更脆弱,更容易崩溃
  • 你可以通过设置 --ip 来改变docker 监听的地址,但是这并没有什么作用,它只是改变了默认值而已
Stdboy
关注
  • 2
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CentOS7 Docker防火墙的简单配置
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh <<'EOF' #!/bin/bash iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT i
网络安装docker.docx
08-25
确保你选择与你的服务器硬件兼容的正确版本进行下载。例如,如果你的服务器是基于x86_64架构的,那么你应该下载对应这个平台的文件。 下载完成后,你需要将文件传输到没有网络连接的服务器上。这可以通过物理介质...
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 7998
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
探索 Docker 网络策略与 Firewalld 服务的协同工作_docker firewalld 共存
最新发布
m0_55030688的博客
04-12 573
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none 和 overlay。每种模式都有其特定的用途和配置方法,影响着容器的网络隔离和通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站和出站流量进行更精细的控制,对于确保系统安全至关重要。最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
如何在CentOS7上使用防火墙保护Docker容器的端口
Arvin Rong's Space
02-13 1309
在主机或虚机上运行Docker容器时,即便主机启用了firewalld服务,仍然存在一些安全隐患,尤其是当Docker容器内打开端口并监听0.0.0.0时,存在即使通过firewall-cmd配置了阻止某些端口被外部访问也不生效的问题,firewall-cmd配置阻止的端口实际测试下来还是公开并对所有请求开放的。我测试的场景:在CentOS 7.9上安装了Docker版本20.10.17,并运行了一个Docker容器,该容器在3000端口上打开并监听0.0.0.0。我通过。
Docker 绕过了 firewalld 的问题
海纳百川
09-10 3665
Docker 绕过了 firewalld 的问题 前言 我们的 firewalld 上没有开放该端口,但是在使用 Docker 的端口映射后我们就能够通过外网访问到该端口。 原因 默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewallddocker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口
dockerfirewalld冲突解决
liyanggyang的博客
04-26 2908
dockerfirewalld冲突解决
《Linux运维总结:基于Centos系统使用firewallddocker容器配置防火墙策略》
东城绝神
11-09 8644
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
firewalld防火墙开启后无法启动docker的问题
可乐要加冰!!!
12-21 914
firewalld防火墙开启后无法启动docker的问题
Centos7 firewall和docker冲突问题
Ranger
11-02 4181
Centos7 firewall 和 docker冲突的问题系统环境问题描述问题排查解决办法 本文只是我对问题的记录,只能用作参考,不能说明问题,请谨慎使用 系统环境 系统:Centos7 防火墙工具:firewalld Docker容器:docker容器使用docker默认的网桥(bridge),进行了端口映射 问题描述 在系统防火墙firewalld关闭的状态下,启动了一个docker容器,然后启动了防火墙,发现docker容器中的服务不能访问,然后使用firewall-cmd --zone=publi
linux 防火墙不起作用,Linux系统安装docker后,firewall规则无效不起作用
weixin_28829903的博客
05-12 3664
## 失效原因默认情况下, docker启动后参数中如果加了端口映射, 就会自动将端口开放给所有网络设备访问,并且这种情况下即使在本机的系统防火墙中加规则也无效, 因为docker会自动添加一个优先级最高的针对这个映射端口全开放规则,这样就需要在docker启动时添加参数来禁止docker对本机防火墙的操作.## 服务器环境| 对象 | 版本 || --- | --- || Cent...
CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
CentOS 7操作系统中,由于默认使用了firewalld防火墙服务,这可能导致与Docker容器之间的端口映射出现问题。当您尝试通过`docker run`命令将主机端口映射到容器端口,例如`docker run --name web_a -p 192.168.1....
docker 入门基础实战完整.pdf
08-06
Linux Centos7环境下安装Docker 简介:如何在Linux环境下安装docker 安装环境:Centos 7 安装条件:docker官方要求至少3.8以上,建议3.10以上 Docker 版本: docker EE 企业版本 docker CE 社区版本 关闭防火墙:...
详解使用docker 1.12 搭建多主机docker swarm集群
09-30
CentOS 7中,你可以使用firewalld来完成这项任务,如下所示: ``` firewall-cmd --zone=public --add-port=2377/tcp --permanent firewall-cmd --zone=public --add-port=7946/tcp --permanent firewall-cmd --...
Docker入门之安装Docker.pdf
01-14
本文操作基于CentOS7,其它Linux发行版本可能存在差异,分基于yum的在线安装和基于二进制包的离线安装(实际还有基于rpm包的离线安装),离线安装可以更多地了解Docker及相关体系。 Docker要求Linux内核版本不低于...
docker 防火墙 设置不生效问题解决
jxyk2007的专栏
08-03 2549
正确方法: iptables -R DOCKER 3 -p tcp -m tcp -s 127.0.0.1 --dport 8500 -j ACCEPT。方法1: firewall-cmd --zone=public --remove-port=8500/tcp --permanent(没有用)方法2: 修改配置文件 vim /etc/firewalld/zones/public.xml (没有用)报错Warning: NOT_ENABLED。想把容器的端口8500禁止掉。...
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
探索 Docker 网络策略与 Firewalld 服务的协同工作
十年运维开发经验的王义杰在此分享自己的知识和经验
11-17 282
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none 和 overlay。每种模式都有其特定的用途和配置方法,影响着容器的网络隔离和通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站和出站流量进行更精细的控制,对于确保系统安全至关重要。理解 Docker 容器网络策略与 Firewalld 服务的交互关系,对于维护一个安全、高效的容器化环境至关重要。
解决dockerfirewalld冲突问题
培根芝士的专栏
02-13 2541
如果同时启用了firewallddocker服务,他们都会对iptables里面的转发链写入规则,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。的 firewalld zone,并把它的所有网络接口(包括docker0)加入到了这个区域里面,执行下面的命令将你的docker0接口移到。当启动firewalld出现冲突的时候,首先重启firewalld,然后重启docker,注意顺序不可以反过来。
docker firewalld
09-07
你想了解有关 DockerFirewalld 之间的关系吗?Firewalld 是一个用于管理 Linux 防火墙规则的工具,而 Docker 是一个容器化平台。当你在运行 Docker 容器时,它可能会创建新的网络接口和规则,这可能会影响防火墙的配置。 Firewalld 提供了一组命令和配置文件,可以允许或拒绝特定的网络流量。当启动 Docker 时,它会自动创建一个名为 docker0 的虚拟网桥,并将容器的网络流量通过该网桥进行路由。此时,Firewalld 可以通过配置规则来控制这些容器之间以及与主机之间的通信。 你可以使用 Firewalld 的命令行工具或图形界面来管理 Docker 容器的网络访问。例如,你可以创建防火墙规则,限制容器对特定端口的访问,或者允许容器之间进行通信而禁止与主机之间的通信。这样可以增强容器的安全性,防止未经授权的访问。 总结来说,Firewalld 可以与 Docker 配合使用,提供对容器网络流量的细粒度控制和安全管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值