iptables详解及docker的iptables规则

最新推荐文章于 2024-05-26 20:52:11 发布
最新推荐文章于 2024-05-26 20:52:11 发布
阅读量2.2w 收藏 106
点赞数 23
分类专栏: Linux 文章标签: iptables 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49946916/article/details/109277325
版权

iptables详解及docker的iptables规则

iptables

处理流程

iptables是Linux中网络钩子,有四表五链。

  • filter表即防火墙规则,允许、阻止或丢弃进出的数据包,使用是最多的
  • nat表,网络地址转换,内网的数据包收发室,有多种类型,常见的有SNAT,PNAT,DNAT,是第二常用的
  • mangle表,修改数据包的TTL,给数据包做不同的标记,策略路由等
  • raw表,一般用于跟踪状态,调试,用的较少

优先级:raw,mangle,nat,filter

五链:

  • PREROUTING,到达本机前的路由规则
  • INPUT,进入本机的规则
  • FORWARD,转发的规则
  • OUTPUT,本机发出的规则
  • POSTROUTING,发出后的路由规则

在这里插入图片描述

命令与扩展

清空表上的所有规则,默认为filter表:
iptables -F

链上操作规则,A追加,I前面插入,D删除,R替换,N新建一个自定义链,例如:
在第5条规则前插入禁止非192.168.1.0/24访问80端口
iptables -I INPUT 5 -p tcp --dport 80 ! -s 192.168.1.0/24 -j DROP

查看某个表的所有链上的规则:
iptables -t nat -L -n -v --line-numbers

filter表,常将lo网卡和已建立连接的规则放在最前面,降低系统负担:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允许ping:
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

允许连续范围端口:
iptables -A INPUT -p udp --sport 1000:2000 -j ACCEPT

每个链都有默认规则,禁止时可以设置白名单,允许时可以设置黑名单
INPUT链默认禁止连接:
iptables -P INPUT DROP

iptables有很多扩展,不同的扩展有不同的功能,查看文档,man iptables-extensions常用的:

  • 多端口扩展,-m multiport --dports 80,443
  • recent扩展,每30秒最多10个连接:
    iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
    iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
  • connlimit扩展,限制并发连接数:
    iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
  • string扩展,字符串匹配禁止:
    iptables -I INPUT -p tcp --sport 443 -m string --string "xunlei" --algo kmp -j DROP

iptables规则都是保存在内存中的,重启规则会丢失,可以使用iptables-saveiptables-restore保存,还可以使用iptables-services

# 禁用firewalld
#systemctl stop firewalld
#systemctl disable firewalld
yum -y install iptables-services
service iptables save
service iptables reload

系统默认规则

安装iptables-services后,/etc/sysconfig/iptables文件中有默认规则:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

第四个是允许ssh登录
第五个是禁止其他连接通过INPUT,并返回icmp-host-prohibited错误
第六个是禁止FORWARD

ipset的使用

可与iptables结合,实现动态的白名单,并且可以设置过期时间
ipset create ssh-allow hash:ip timeout 0
ipset add ssh-allow 192.168.47.1 timeout 86400
ipset list ssh-allow
iptables -A INPUT -p tcp --dport 22 -m set --match-set ssh-allow src -j ACCEPT

SNAT与DNAT

SNAT常用于内部无法上网的机器通过网关上网,需要调整安全组和解除网关MAC与IP绑定。

# 网关打开核心转发
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

# 数据包离开前将源地址改为网关地址,动态上网时,常用-j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to 172.16.8.1

# 不能上网的机器,修改网关
route add default gw 192.168.1.1

DNAT常用于将内部机器暴漏给外部用户使用。
iptables -t nat -A PREROUTING -d 172.16.8.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.20:8080

ftp规则

ftp分为主动模式和被动模式。

主动模式数据流是server主动连接client的随机端口,一般客户端都工作在NAT网络中,客户端端口须层层路由开放,所以这种模式很少使用。

被动模式,server告知client数据连接端口,客户端连接server的数据连接端口,这个端口一般是随机的,需要服务端开放,使用iptables的连接追踪功能,可以很好的解决这个问题

加载ftp专用的追踪模块,modprobe nf_conntrack_ftp

开启ftp追踪模块后,仅需开放21端口即可(INPUT默认DROP,OUTPUT默认ACCEPT)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
RELATED指明ftp关联的数据端口允许连接

firewall-cmd命令

iptables分为ipv4和ipv6,两者是独立的,firewalld是iptables的python脚本,已经整合了ipv4和ipv6

与iptables不同的是,firewalld使用zone来管理防火墙
zone可以根据source,mac,ipset,interface等匹配,匹配不上的进入默认的public

查询默认zone:
firewall-cmd --get-default-zone
修改了规则需要重新加载才能生效:
firewall-cmd --reload
列出zone的所有规则:
firewall-cmd --list-all --zone=public
开放80端口:
firewall-cmd --zone=public --add-port=80/tcp --permanent

进行复杂的控制,需要rich规则,命令比较复杂,不推荐使用

docker的iptables规则

docker网络类型

  • none:顾名思义,不使用网络,只使用lo
  • host:使用主机的网络
  • bridge:桥接,相当于nat,通过docker0分配一个172.17.0.x的地址使用
  • container:使用指定容器的网络

数据包处理流程

为便于测试,启动两个容器:
docker run -d --rm --name nginx -p 80:80 nginx:1.16.1
docker run -it --name busybox --rm busybox sh

filter表规则

iptables -N DOCKER
iptables -N DOCKER-ISOLATION-STAGE-1
iptables -N DOCKER-ISOLATION-STAGE-2
iptables -N DOCKER-USER
iptables -A FORWARD -j DOCKER-USER
iptables -A FORWARD -j DOCKER-ISOLATION-STAGE-1
iptables -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o docker0 -j DOCKER
iptables -A FORWARD -i docker0 ! -o docker0 -j ACCEPT
iptables -A FORWARD -i docker0 -o docker0 -j ACCEPT
iptables -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
iptables -A DOCKER-ISOLATION-STAGE-1 -j RETURN
iptables -A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
iptables -A DOCKER-ISOLATION-STAGE-2 -j RETURN
iptables -A DOCKER-USER -j RETURN

主要是转发规则,默认FORWARD为DROP,DOCKER链处理到docker0的IP数据包,即容器对外的规则,例如:

iptables -A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 80 -j ACCEPT
允许非docker0访问80端口

为了搞清楚DOCKER-ISOLATION-STAGE-2,需要创建一个bridge,开启一个nginx,并安装telnet

docker network create docker1
docker run -d --rm --name nginx1 -p 8080:80 --net docker1 nginx:1.16.1
docker exec -it nginx /bin/bash
# 在nginx中安装telnet
#apt update
#apt install telnet
#telnet 172.18.0.2 80

可以看到telnet 172.18.0.2 80并不通,怎么实现的呢?
DOCKER-ISOLATION-STAGE-1规则是源网卡是docker0,而目的地不是docker0就进入DOCKER-ISOLATION-STAGE-2

而DOCKER-ISOLATION-STAGE-2中,有一条规则,iptables -A DOCKER-ISOLATION-STAGE-2 -o br-afba712bfb32 -j DROP,即不允许不同的网卡互相访问,这对于docker-compose非常有用,设计非常精妙

DOCKER-USER链用于自定义转发规则,优先级最高,可以限制进入容器的源IP地址:
iptables -I DOCKER-USER ! -s 192.168.47.1 -p tcp --dport 80 -j DROP
以上规则禁止非192.168.47.1的IP地址访问容器的80端口

nat表规则

iptables -t nat -N DOCKER
iptables -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
iptables -t nat -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
iptables -t nat -A DOCKER -i docker0 -j RETURN

DOCKER链方便container自定义规则
POSTROUTING规则,使得container使用宿主机docker0的IP作为网关,便于接收外部返回的数据

有如下规则:
iptables -t nat -A DOCKER ! -i docker0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.2:80
通过PREROUTING链和DOCKER链将主机的80端口流量转发给172.17.0.2,并通过filter表的FORWARD链返回给客户端

宿主机通过nat表的OUTPUT链是可以访问container的80端口的

nat表的POSTROUTING规则使得container可以访问外网

很奇怪的一条规则:
iptables -t nat -A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 80 -j MASQUERADE
使得容器通过自己的IP172.17.0.2也可以访问80端口

最后网上的一张流程图:
在这里插入图片描述

摩洛哥M
关注
  • 23
    点赞
  • 106
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
dockeriptables的关系
ivy_1103的博客
09-28 2052
前言: iptableslinux的防火墙,一般我们自我搭建环境时会关闭。用service iptables status命令可以查看到iptables的状态。 docker的运行依赖于iptables,利用其中的nat功能。 一)  docker安装完毕,通过ifconfig,可以看到有一个docker0的虚拟网卡,如下:     docker0   Link encap:Et
dockeriptables关系
zhao4471437的博客
11-18 2万+
1、首先了解一下docker网络机制 docker有4中网络模式: a.host b.container c.none d.bridge docker使用linux中的namespace隔离资源,一个docker容器会分配一个独立的network namespace。但是如果容器采用host时,那么这个容器会和宿主机公用一个network namespqce,容器将不会虚拟出自己的网
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 1411
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口做限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则
困扰多年的Dockeriptables的恩怨,今天解决了
吴大锤的专栏
01-30 2351
快看,新年第一解!困扰多年的Dockeriptables的恩怨,今天终于解决了
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1471
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
dockerDocker网络iptables
热门推荐
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置。iptablesDocker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
Linux运维总结:基于Centos系统使用iptablesdocker容器配置防火墙策略》
东城绝神
11-09 6762
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
Docker 启动时报:iptables 异常
游荡边缘的博客
07-10 1135
docker运行时,有时可正常运行,若加上防火墙或docker内部端口不能访问时,添加以下代码可修复问题 1.找到 cd /etc/sysctl.d/ 2.在99-sysctl.conf配置文件中添加 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 3.重新刷新系统配置 ...
docker重启iptables策略失效
qq_43665434的博客
09-27 3611
docker重启iptables策略失效,--iptables=false禁用后又阻断了容器进程,最后问题已解决
docker iptables 问题
qq_53361826的博客
09-28 958
docker出现driver failed programming external connectivity on endpoint
详解Docker使用Linux iptables 和 Interfaces管理容器网络
01-20
我使用docker至今已有... Docker广泛使用linux iptables和网桥接口,这篇文章是我如何用于创建容器网络的总结,大部分信息来自github上的讨论,演示文稿,以及我自己的测试。文章结尾我会给出我认为非常有用的资料链接
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
详解Docker Swarm服务发现和负载均衡原理
01-20
Docker 使用了 Linux 内核 iptables 和 IPVS 的功能来实现服务发现和负载均衡。 iptablesLinux 内核中可用的包过滤技术,它可用于根据数据包的内容进行分类、修改和转发决策。 IPVS 是 Linux 内核中可用的传输级...
详解如何修改 Docker 默认网桥地址
01-20
在公司里搭建docker测试环境,需要访问内部的服务, 由于网段是172.17。导致该容器没有办法正常访问公司内部服务。...$ sudo iptables -t nat -F POSTROUTING 然后创建一个新的网桥,注意 bridge0 可以换成其他名称,
Linux~防火墙管理之iptables
WuXieDeXiaoGe的博客
08-20 301
一:Iptables介绍 在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。 4表5链介绍: 4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw&gt...
学习笔记-Iptables
人饭子的博客
11-04 602
Iptables 什么是 iptables Linux 系统在内核中提供了对报文数据包过滤和修改的官方项目名为 Netfilter,它指的是 Linux 内核中的一个框架,它可以用于在不同阶段将某些钩子函数(hook)作用域网络协议栈。Netfilter 本身并不对数据包进行过滤,它只是允许可以过滤数据包或修改数据包的函数挂接到内核网络协议栈中的适当位置。这些函数是可以自定义的。 iptabl...
Docker(八)---Docker安全相关设定
Gong_yz的博客
03-06 1247
本节总结:理解docker安全;cgroup如何进行容器资源控制设置;通过lxcfs,做docker安全加固;以白名单的形式,实现容器相关特权;
Docker 网络详解
03-15
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。而本套课程主要讲解docker容器网络的各种构建方式,比如单台主机内的容器通信,及多台主机间的容器通信的主流实现方式。主要讲解Docker 网络以下几个方面:  1.  Linux的虚拟桥和虚拟网卡、网络名称空间等。  2.  Docker网络的基础知识。  3.  用户自定义的网络  4.  Docker和openvswitch虚拟交换机的集成。  5.  容器dns相关配置  6.  容器网络通信的相关安全  7.  容器和flannel网络集成  8.  容器网络的相关排错注意:本课程学习需要具有一定的Linux基础、网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker相关知识点。
docker iptables dns
09-11
Docker使用iptables来管理网络流量。当运行Docker容器时,它会自动创建iptables规则以实现容器之间和容器与主机之间的网络通信。 关于DNS,Docker在处理DNS请求时使用了一种称为"docker-proxy"的中间件。这个中间件会拦截所有容器内部的DNS请求,并将其重定向到Docker守护进程监听的默认DNS服务器上(通常是本地的127.0.0.11)。 当Docker容器启动时,它会自动将默认的DNS服务器地址配置为127.0.0.11。这样,当容器内的应用程序发起DNS请求时,请求流量会通过iptables规则转发到docker-proxy,并由docker-proxy转发到实际的DNS服务器。 你可以通过以下方法查看Dockeriptables规则: ``` sudo iptables -L DOCKER-USER ``` 这将显示与Docker相关的自定义iptables规则。请注意,具体的规则可能会因Docker版本、操作系统和网络设置而有所不同。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值