《Linux运维总结:基于Ubuntu系统使用ufw为docker容器配置防火墙策略》

已于 2024-01-26 14:26:35 修改
阅读量433 收藏 1
点赞数 1
分类专栏: 《企业级K8s集群运维实战》 文章标签: linux 运维 ubuntu
于 2023-08-08 09:58:29 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/132160495
版权

一、背景信息

由于在客户环境使用的是docker来部署系统的应用程序,客户要求对于数据库服务器开启防火墙策略,开启白名单策略,只允许特定IP访问数据库。

环境信息如下

操作系统 容器网络模式
22.04.2 LTS 主机网络模式

如下所示:
在这里插入图片描述

总结:容器使用bridge模式,暂时没有找到方法,对容器映射到宿主机上的端口添加白名单策略,进行了多次尝试,还是没有办法达到预期效果,如果你有更好的方法,可以联系博主!

二、解决方案

1、容器信息如下
在这里插入图片描述

2、开启防火请,并设置默认策略为拒绝

# 1、开机启动防火墙
root@lolaage:~# ufw enable

#2、修改默认拒绝
root@lolaage:~# ufw default deny 

#3、允许传入SSH连接(必须,不然无法连接服务器,当然你也可以添加ip限制)
root@lolaage:~# ufw allow ssh

说明:在将默认策略修改为拒绝之后,在192.168.1.188主机上就无法访问3306、6379、27017等容器端口,如下图所示:
在这里插入图片描述

3、设置容器端口3306、6379、27017访问规则

# 允许192.168.1.188访问容器端口3306、27017、6379
root@lolaage:~# ufw allow from 192.168.1.188 to any port 3306
root@lolaage:~# ufw allow from 192.168.1.188 to any port 6379
root@lolaage:~# ufw allow from 192.168.1.188 to any port 27017

说明:添加访问规则,如下图所示:
在这里插入图片描述

4、验证访问结果,如下图所示:
在这里插入图片描述

三、UFW使用介绍

1、UFW 基础命令

ufw version           #查看版本信息
ufw enable            #启用防火墙
ufw disable           #禁用防火墙
ufw reload            #重载防火墙
ufw reset             #重新设置防火墙 (注意:这将禁用UFW并删除之前定义的任何规则)
ufw verbose           #查看防火墙策略

2、设置允许SSH

ufw allow ssh
或
ufw allow 22

3、设置允许SSH

# 默认情况下ufw开启会阻止所有传入的流量并且允许所有传出的流量,通过以下命令实现:
ufw default allow outgoing
ufw deault deny incoming

4、设置其他端口(含协议限制)

#增加协议限制,基于tcp/udp过滤数据包
ufw allow 80/tcp
ufw allow 7000/udp

4、删除已经添加的端口

ufw delete allow 80
ufw delete deny 7000

5、按照范围开通端口

ufw allow 9000:9002/tcp
ufw allow 9000:9002/udp

6、限制IP访问白名单,只允许或者拒绝某IP访问

#限制某个ip
ufw allow from 192.168.1.11 #允许
ufw deny from 192.168.1.11  #拒绝

#限制指定IP地址范围
ufw allow from 192.168.1.0/24 #允许
ufw deny from 192.168.1.0/24 #拒绝

7、限制指定IP访问特定端口

ufw allow from 192.168.1.11 to any port 80 #允许
ufw deny from 192.168.1.11 to any port 80 #拒绝

#指定协议
#允许
ufw allow from 192.168.1.11 to any port 80 proto tcp
ufw allow from 192.168.1.11 to any port 80 proto udp
#拒绝
ufw deny from 192.168.1.11 to any port 80 proto tcp
ufw deny from 192.168.1.11 to any port 80 proto udp

8、限制访问外网

ufw default deny outgoing

9、允许对外访问域名解析用的DNS端口(53)

ufw allow out  to any port 53

10、允许访问外网的某个IP

ufw allow out proto tcp to 183.21.111.43

11、如果想恢复允许访问所有外网IP

ufw default allow outgoing

12、查看ufw日志

cat /var/log/ufw.log

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:《Linux运维篇:Linux系统运维指南》

东城绝神
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ufw配置
wang805447391的博客
08-01 709
安装 sudo apt install ufw 配置 启用:sudo ufw enable 各Chain配置: Routed:Allow(默认是Deny,个人修改为Allow) sudo ufw default allow routed Outgoing:Allow(默认是Allow,无需修改) Incoming: 思路一:所有接口默认Deny,需要Allow的接口再手动Allow 优点:限制严格,最小权限,不allow不能用 缺点:如果内部有很多接口(例如docker0,veth,wifi共享等),则
Ubuntu16.04LTS正版镜像-Ubuntu16.04系统ios-Linux官网资源
03-29
7. **Docker支持**:预装了Docker,简化了容器技术的部署和管理,增强了开发和运维的效率。 8. **安全增强**:包括内核级安全强化、AppArmor安全策略以及默认开启的火墙UFW,为用户提供更好的防护。 9. **软件中心...
docker ufw
weixin_34186128的博客
11-28 173
为什么80%的码农都做不了架构师?>>> ...
Linux UFW防火墙设置、案例教程及注意事项
最新发布
sjxgghg的博客
06-18 616
UFW 防火墙管理工具,本文将详细介绍如何使用UFW进行防火墙设置,并通过案例教程展示其用法,同时指出一些使用UFW时需要注意的事项。远程连接服务器时,发现SSH远程登录服务器失败,但是又可以Ping通,故服务器是开启的。
关于ubuntu14.04防火墙-ufw
zhangyingguangails的博客
07-05 1344
一向以简单易用著称Ubuntu在它的发行版中,附带了一个相对iptables简单很多的防火墙配置工具:ufwufw默认是没有启用的。也就是说, ubuntu中的端口默认都是开放的。使用如下命令启动ufw: $sudo ufw default deny $sudo ufw enable 通过第一命令,我们设置默认的规则为allow, 这样除非指明打开的端口, 否则所有端口默认都
ubuntuufw详解--防火墙
热门推荐
BigData_Mining的博客
06-14 4万+
LInux原始的防火墙工具iptables由于过于繁琐,所以ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw。而UFW支持图形界面操作,只需在命令行运行ufw命令即能看到一系列的操作。接下来,就由专业运营香港服务器、美国服务器、韩国服务器等国外服务器的天下数据为大家介绍ubuntu系统防火墙的开启、关闭等常规操作命令。sudo ufw version防火墙版本:  ufw 0...
Ubuntu防火墙工具UFW
m0_61629312的博客
09-23 1617
Ubuntu系统中,最常用的防火墙工具是UFW(Uncomplicated Firewall)。UFWUbuntu默认的防火墙,它简单易用,基于iptables实现。除UFW外,Ubuntu还可以安装和使用其他防火墙软件,如Gufw图形界面工具或Firewalld。但UFW使用最为广泛简单。
ufw管控docker端口
u012270755的专栏
04-09 452
3、如果/etc/default/docker没有则创建,并修改docker启动配置/lib/systemd/system/docker.service。4、修改/etc/ufw/before.rules。2、修改docker默认配置文件。1、修改ufw默认的配置。5、重起docker配置。6、重启一下ufw规则。
Linux 系统运维系列(unixhot)
03-15
- 防火墙配置使用ufw或firewalld设置防火墙规则。 12. **备份与恢复** - 数据备份:了解rsync、tar等工具进行数据备份。 - 系统恢复:掌握如何从备份中恢复系统或数据。 13. **故障排查** - 调试工具:学会...
ubuntu-focal-provisioning:Ubuntu 20.04的配置文件(焦点)
02-10
在IT领域,特别是系统管理与自动化运维中,Ubuntu 20.04 LTS(长期支持版,代号"Focal Fossa")是一个广泛使用Linux发行版。本话题将深入探讨"ubuntu-focal-provisioning"项目,这是一个针对Ubuntu 20.04的配置...
基于Linux的私有文件服务器(网盘).zip
04-29
7. **安全性**:使用防火墙(iptables或ufw)限制访问,启用SSL/TLS加密,设置强密码,使用SSH密钥对登录,以及定期更新系统和软件以修复安全漏洞。 8. **用户和权限管理**:理解Linux的用户和组管理,如如何添加...
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh <<'EOF' #!/bin/bash iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT i
循序渐进Linux(第2版)服务器搭建系统pdf
11-17
安全方面,读者会学习到如何使用防火墙(iptables或ufw)来保护系统,理解SSH安全远程登录的原理,以及如何配置SSL证书实现加密通信。同时,系统日志管理和审计、用户权限控制、入侵检测系统(IDS)的部署也是确保...
ubuntuufw 配置
颹蕭蕭
08-24 1949
ubuntuufw 配置1、安装:apt-get install ufw2、启用:ufw enableufw default deny3、开启/禁用:ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口ufw deny 22/tcp 禁止所有外部IP访问本机的22/tcp(ssh)端口ufw allow 192.168.1.188 允许此IP访问所有的本机
docker配置firewall防火墙
qqjjj的博客
09-25 1271
【代码】docker配置firewall防火墙
CentOS 7 Docker 防火墙简单配置
weixin_33991418的博客
12-21 1440
禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/local/bin/fired.sh...
Ubuntu防火墙工具-UFW简单使用
程序猿成长记
10-21 473
0.说明 ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw使用ufw配置防火墙规则远比iptable方便多了。 1.安装 sudo apt-get install ufw 2. 启用 udo ufw enable sudo ufw default deny 运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。关闭所有外部对本机的访问,但本机访问外部正常。 3.打开或关闭某个端口 sudo ufw allow smtp  允许所有的外部IP访问本机的25/tcp (sm
如何关闭docker容器防火墙
07-27
要关闭Docker容器防火墙,可以按照以下步骤进行操作: 1. 首先停止所有正在运行的容器,可以使用以下命令停止所有容器:\[1\] ``` docker container stop $(docker container ps -aq) ``` 2. 然后删除正在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值