docker环境中宿主机防火墙添加ssh无法生效的问题分析

已于 2024-03-29 23:02:20 修改
阅读量896 收藏 10
点赞数 23
分类专栏: docker 文章标签: docker
于 2024-03-29 22:59:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61230499/article/details/137158620
版权

背景

在部署了docker容器的环境中,要在防火墙开通22端口,即ssh服务,以便在终端可以正常登陆。使用firewall-cmd在docker区域添加了22端口,但是没有起作用。后再public区域添加22端口才起作用。为什么docker区域不起作用,而public区域起作用呢?

 

分析

防护墙使用的是firewall管理的,使用下面的命令添加的规则:

firewall-cmd --add-service=ssh --zone=docker

firewall-cmd --reload

添加完后,查看:

firewall-cmd --list-service --zone=docker

结果已经有了ssh,表示添加成功。

 

但是尝试ssh登陆服务器时,还是不行。

通过iptables查看:

iptables -nL

看到这样一条:

509290dd630347af8b67f7b2b6b7a193.png

 

这个链是IN_docker_allow。从这个名字可以推测是INPUT链的子链。从docker可以推测出这是firewall的docker区的规则。最后的allow表示允许。这个说明刚才使用firewall添加的规则是生效了的。但是就是无法ssh登陆。

 

查看当前使用的区:

firewall-cmd --get-active-zone

结果为:

82d4c251e8ae4d31bae11645303a9f79.png 

是我们指定的zone=docker区,那到底是哪里出问题了呢?

 

为了验证问题,我在zone=public中加了同样的规则:

ba3bef2dda084e75accec7b19843b619.png

 

这个时候就可以ssh登陆了。

 

现在来分析一下iptables的规则链。

23db009cdeb941fe861a1f2802d09bc9.png

 

从INPUT开始,找到了INPUT_ZONES为入口的子链。

493767cf71e34ca39e899cdee694aab1.png

 

INPUT_ZONES下有IN_docker和IN_public。按理说IN_docker在前,优先级高,所以在IN_docker上加规则是可以生效的。实际上却是后面的IN_public规则生效了。

 

通过 iptables -nL查看到的规则里,其实并没有看到网卡的信息。所以,我换了一种方法查询:

iptables -S INPUT_ZONES

结果:

20aa3fcae586494cb934f6c46fe5b095.png

 

从原始的规则里可以看出,IN_docker绑定了docker0和br-开头的虚拟网桥,而IN_public没有绑定即默认绑定的是eth0。前面之所以看到有两个IN_docker,是因为这里绑定了两个虚拟网桥。

 

所以ssh到宿主机,经过的是eth0,而不是走虚拟网桥,所以IN_docker规则是不会匹配的,ssh到宿主机需要在IN_public里添加规则,也就是firewall的public区添加规则。如果要ssh到容器中,则需要在对应的虚拟网桥添加。不过因为docker区域已经绑定了两个虚拟网桥,所以只要在docker区中添加规则即可。

 

总结

firewall管理的防火墙规则虽然复杂,但是也不过就是将区域和网卡进行了绑定,然后再建立一系列的子链进行关联。如果发现规则无效,则需要直接查看原始的规则信息,以区分不同的网卡。

来源: http://www.yu7s.com/article/20240326175659891.html

 

七秒鱼dh.yu7s.com
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker容器访问宿主机网络的方法
09-30
主要介绍了Docker容器访问宿主机网络的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
动了宿主机防火墙docker必须重启吗?
Jason
06-23 873
如果防火墙规则的更改影响了 Docker 的网络连接,那么需要重启 Docker 才能使更改生效。这是因为 Docker 的网络连接是与宿主机的网络连接紧密关联的,因此防火墙规则的更改可能会影响 Docker 的网络连接。如果你不确定是否需要重启 Docker,请先尝试重新加载 Docker 的网络配置,以便它可以使用新的防火墙规则。ps:如果需要启动应用,而不想重启整个 docker,应尝试使用主机模式,避免使用端口映射,因为此时的映射是坏的。
在安装docker配置端口时 centos7 防火墙规则失效
卷心菜投手
04-27 2911
在安装docker配置端口时 centos7 防火墙规则失效 iptable firewalld zone
69 docker 容器内部能够 ping 通宿主机, 但是访问不到宿主机的服务
970655147的专栏
10-24 1210
前言 呵呵 这个问题 应该也是之前 测试 vsftpd 服务的时候 暴露出来的问题吧 呵呵 当然 解决还是花了一些 心思的 docker 容器内部能够 ping 通宿主机, 但是访问不到宿主机的服务, 多半是因为 宿主机防火墙问题 现场情况 业务代码的报错 大致如下, 这个是当时 访问 vsftpd 的服务 java.net.NoRouteToHostException: Host is unreachable (Host unreachable) at java...
Docker环境操作手册(更新
visket2008的专栏
03-24 2988
Docker知识从入门到精通手册 (标准篇:1-5 级篇:6-7 高级篇:8-11)正文1.如何理解docker2.如何安装docker2.1文件下载2.2虚拟机、操作系统安装2.3 docker前置环境安装2.4 docker安装3.如何快速使用docker(常用操作命令)4.如何管理自己的docker仓库4.1 私有仓库创建4.2 harbor仓库创建5.docker镜像创建和使用6.docker镜像、容器操作6.1镜像基础情况查询6.2如何启动镜像6.3如何查询容器状
Docker容器内部端口映射到外部宿主机端口
jpmsdn的专栏
07-02 1618
Docker容器内部端口映射到外部宿主机端口 Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务。 容器启动之后,容器可以运行一些网络应用,通过-p或-P参数来指定端口映射。 注意: 宿主机的一个端口只能映射到容器内部的某一个端口上,比如:8080->80之后,就不能8080->81 容器内部的某个端口可以被宿主机的多个端口映射,比如:8080->80,8090->80,8099->80 1)启动容器时,选择一个端口映射到容器内部开放端口上-p..
docker容器内部端口映射到外部宿主机端口
爱是与世界平行
03-31 1191
ocker容器内部端口映射到外部宿主机端口1、启动容器时,选择一个端口映射到容器内部开放端口上2、启动创建时,绑定外部的ip和端口(宿主机ip是192.168.10.214)3、容器启动时可以指定通信协议,比如tcp、udp4、查看容器绑定和映射的端口及Ip地址5、容器启动绑定多IP和端口(跟多个-p)6、容器除了在启动时添加端口映射关系,还可以通过宿主机的iptables进行nat转发,将宿主机...
Docker笔记安装&操作&ssh&自启动&开机自动执行自定义脚本
牟云飞的博客
06-13 4281
一、安装 1)安装依赖包 sudo yum install -y yum-utils device-mapper-persistent-data lvm2 2)设置阿里云镜像源 sudo yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 3)安装 Docker-CE sudo yum install docker-ce ...
docker测试环境部署踩坑系列(编写
weixin_42784244的博客
03-28 2302
测试环境部署踩坑系列 数据库创建 在安装好pgsql之后,使用 escloud_database_init.sh初始化数据库 liunx环境执行 sh ./escloud_database_init.sh en 172.16.6.181 5432 postgres password 参数1: 脚本语言(cn文/en英文) 参数2: 数据库host 参数3: 数据库端口 参数4: 数据库用户名 参数5: 数据库密码 此脚本会对参数的数据库进行库和表的建立(注意:会覆盖以往的数据库数据),建立如
国产openeuler22.03容器环境下/etc/sysconfig/iptables保存的防火墙策略在服务器重启后不生效问题分析和解决
forestqq的博客
06-09 2215
在运行容器前测试过 /etc/sysconfig/iptables的配置在重启后是生效的,同时重启后iptables服务运行正常,排除iptables服务的问题。怀疑是docker服务在iptables服务后启动,重置了iptables的“Chain DOCKER"链数据。对主机进行重启,重启后发现配置的策略还在,但运行的策略没有限制的两条,所有主机又都可访问了。因此可以确定,问题原因就是docker服务在iptables服务后启动,重置了iptables的“Chain DOCKER"链数据。
详解如何解决docker容器无法通过IP访问宿主机问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主机问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决Mac下 docker 无法 ping 通宿主机问题
01-20
解决方案 抛弃docker for mac自带的linux虚拟机(尽管轻量,但其与OSX通信采用socket...切换docker环境,使用eval $(docker-machine env)命令 查看创建的虚拟机的ip地址:docker-machine ip default或者直接docker-mac
docker容器无法访问宿主机端口的解决
01-08
最近在工作时遇到一个问题docker容器无法访问宿主机的redis,telent6379端口不通。 经排查发现,该服务器启用了防火墙防火墙把6379的端口的访问授权给docker0网卡访问即可。 操作如下: firewall-cmd –...
docker 部署并运行一个微服务
longe20111104的博客
05-08 271
这将会将容器内的3000端口映射到主机的3000端口,你可以根据需要进行修改。现在,你的微服务应该已经成功部署并在Docker容器运行了。替换为你想要为镜像命名的名称,注意末尾的。替换为你所需的基础Docker镜像。表示Dockerfile的路径。
docker
帅的没拼音
05-14 278
确保 docker-desktop和docker-desktop-data状态为stoped。安装docker desktop。2. 导出docker镜像文件。
OpenSPG docker 安装教程
comfly的博客
05-08 1044
我最近是想结合chatglm3-6b和知识图谱做一个垂直领域的技术规范的问答系统,过程也遇到了很多困难,在模型微调上,在数据集收集整理上,在知识图谱的信息抽取上等等,咬咬牙,多学习就可以解决,本文主要写一下利用openspg做技术规范的信息抽取的部署安装过程。OpenSPG是蚂蚁集团结合多年金融领域多元场景知识图谱构建与应用业务经验的总结,并与OpenKG联合推出的基于SPG(Semantic-enhanced Programmable Graph)框架研发的知识图谱引擎。
docker runc升级1.1.12
王羲之的之的博客
05-11 102
所有节点(包括master+node)
docker学习和常用命令
最新发布
OutRoading的博客
05-14 101
镜像仓库datahub。
linux docker容器无法访问宿主机ssh
08-09
当Linux的Docker容器无法访问宿主机SSH时,可能有以下几个原因: 1. 防火墙设置问题:检查宿主机防火墙规则,确保SSH服务端口(默认为22)在防火墙规则是开放的。可以使用`sudo iptables -L`命令查看当前的防火墙规则,并使用`sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT`命令添加如不存在的SSH规则。 2. SSH服务是否在运行:确保SSH服务器在宿主机上处于运行状态。使用`sudo systemctl status ssh`命令检查SSH服务的状态,如果服务没有启动,可以使用`sudo systemctl start ssh`命令启动SSH服务。 3. 网络配置问题Docker容器与宿主机之间的网络配置可能会导致无法访问宿主机SSH。确保Docker网络配置正确,可以尝试重新启动Docker服务以应用网络配置的更改。 4. SSH配置问题:需要检查宿主机SSH配置文件`/etc/ssh/sshd_config`是否正确设置了允许远程访问。打开文件,找到`PermitRootLogin`和`PasswordAuthentication`两个选项,确保它们的值为`yes`,并且没有被注释掉(没有以`#`开头)。 5. SSH密钥问题:确保宿主机Docker容器之间的SSH密钥是匹配的。可以使用`ssh-copy-id`命令将宿主机SSH公钥复制到Docker容器,以建立信任关系。 如果上述步骤仍然无法解决问题,可以考虑搜索相关错误信息或者查看Docker容器的日志进行进一步排查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值