docker 容器 绕过了firewalld规则可直接被外部访问,问题处理

最新推荐文章于 2024-07-09 09:14:21 发布
最新推荐文章于 2024-07-09 09:14:21 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: docker firewalld_iptables systemd_chkconfig 文章标签: docker 容器绕过了firewalld firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oToyix/article/details/121606513
版权

问题1:
启动容器后,客户端访问服务时,会直接跳过firewalld规则,可以直接telnet容器端口
问题2:
容器访问宿主机端口需要单个开启端口规则,这里可以直接设置对宿主机容器开启权限

直接执行以下命令即可

EN_INTERFICE=`ifconfig |grep -E ^e|grep RUNNING|awk -F":" '{print $1}'`
cat>/etc/docker/daemon.json <<-EOF
{
"iptables": false
}
EOF
cat>>/etc/sysctl.conf <<-EOF
net.ipv4.ip_forward = 1
EOF
sysctl -p
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -i $EN_INTERFICE -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -o $EN_INTERFICE -j ACCEPT
firewall-cmd --permanent --zone=trusted --change-interface=docker0
firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --permanent --zone=public --add-port=22/tcp
systemctl restart docker
firewall-cmd --reload
firewall-cmd --zone=public --add-masquerade
firewall-cmd --query-masquerade
cat>> /etc/rc.local <<-EOF
firewall-cmd --zone=public --add-masquerade
systemctl restart nginx
EOF

解释:

net.ipv4.ip_forward = 1  开启转发

开启端口允许
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -i $EN_INTERFICE -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -o $EN_INTERFICE -j ACCEPT

宿主机对容器开启所有端口
firewall-cmd --permanent --zone=trusted --change-interface=docker0

执行后,容器内部可以访问外网
firewall-cmd --zone=public --add-masquerade

--------------------end

oToyix
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker 通过 firewalld、iptables 端口映射 及 解决外部主机无法访问问题
JineD的博客
02-24 7503
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running
Docker 绕过firewalld问题
海纳百川
09-10 3877
Docker 绕过firewalld问题 前言 我们的 firewalld 上没有开放该端口,但是在使用 Docker端口映射后我们就能够通过外网访问到该端口。 原因 默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewallddocker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口
使用firewall-cmd配置Docker防火墙规则
最新发布
Leon_Jinhai_Sun的博客
07-09 180
使用firewall-cmd配置Docker防火墙规则
docker 映射端口穿透内置防火墙
伟庭的博客
06-29 2357
docker 映射端口穿透内置防火墙
防火墙不能控制docker容器端口--docker容器端口绕过firewall、centos7问题
qq_49380951的博客
11-11 661
解决防火墙不能控制docker容器端口--docker容器端口绕过firewall、centos7问题
docker映射端口绕过防火墙可以直接访问问题解决
sinat_34163739的博客
12-05 2645
docker run -itd -p 80:80 busybox /bin/sh 想通过-p 这种方式映射宿主与容器的端口的命令,一般都是可以直接通过访问主机ip+80端口进行访问,但是生产环境不能把所有微服务的端口打开,所以明白-p通过iptables做了些什么,我们才能不让其通过映射的端口进行直接访问容器,而是通过iptables规则来让他是否访问指定的端口。 默认情况会生成两条规则...
关于docker 绕过防火墙开放端口的问题
04-01 4236
一般来说安装完docker之后,它就会在iptables里创建几个chain,它需要通过iptables来实现自身的网络功能。 比如你启动容器时候使用指定 -p 8080:8080参数,就会发现它往IPTABLES里写了一些东西 iptables -L DOCKER iptables --list 命令可以查看, 不过这个规则透过firewalld是看不到的,较新版本的redha...
详解如何解决docker容器无法通过IP访问宿主机问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主机问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker for windows 容器内网通过独立IP直接访问的方法
09-29
以下是配置Docker容器直接通过独立IP访问的步骤: 1. 首先,通过`ipconfig`命令检查宿主机的虚拟网卡IP,通常为10.0.75.1。 2. 运行一个Docker容器,查看容器的IP地址,如`172.17.0.2`,你会发现宿主机无法直接...
Docker容器访问宿主机网络的方法
09-30
Docker容器和宿主机之间进行网络通信是容器化技术中经常遇到的问题,尤其是在容器内部应用需要访问宿主机上的网络服务时。本文将详细介绍两种常见的方法来解决Docker容器访问宿主机网络的问题。 首先,我们了解到...
docker桥接模式的服务没有防火墙限制,本地能访问,其他机器不能访问
06-05 667
2)netstat -tln 发现服务是启动在tcp6上面,比如只有三个冒号:::3306这种,(用ss -tnl没看出来)原因:docker的桥接网络默认,可能会把服务启动在ipv6地址上。1)查看防火墙无任何限制,别的类型的服务可以在其他机器访问,设置net.ipv4.ip_forward=1。2.解决:将ipv6服务通过ipv4转发出去。
Docker端口不受ufw防火墙限制解决方案
qq_52726195的博客
05-05 1204
官方说明:(ufw) 是 Debian 和 Ubuntu 附带的前端,它允许您管理防火墙规则Docker 和 ufw 使用 iptables 的方式使它们彼此不兼容。当您使用 Docker 发布容器的端口时,进出该容器的流量在通过 ufw 防火墙设置之前会被转移。Docker 在表中路由容器流量nat,这意味着数据包在到达ufw 使用的链INPUT之前会被转移。OUTPUT数据包在应用防火墙规则之前进行路由,从而有效地忽略您的防火墙配置。
服务器开启防火墙后,让docker容器能够访问到本地机器的端口
zzz3112362088的博客
05-29 4896
添加规则
五、Docker用iptables绕过firewalld问题
dears-app的博客
01-01 1353
Docker用iptables绕过firewalld问题
【CenOS7】firewalld docker
weixin_34092455的博客
10-31 214
[root@wode004 sysconfig]# systemctl status firewalld.service -lfirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)...
linux防火墙 docker,docker遇到防火墙报错问题解决方法
weixin_39854730的博客
05-12 206
-- 报错信息[root@localhost docker]# docker run -d -p 5000:5000 training/webapp python app.pycc61442060cb810633a06bd6ea692a3df6b0bfcadc6a7dadfe53bf875f1ac3b9docker: error response from daemon: driver faile...
Docker安全
weixin_50355475的博客
04-06 421
Docker安全一、区别Docker容器与虚拟机(一)、隔离与共享(二)、性能与损耗二、Docker 存在的安全问题(一)、Docker 自身漏洞(二)、Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准(一)、内核级别(二)、主机级别(三)、网络级别(四)、镜像级别(五)、容器级别(六)、其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯 一、区别Docker容器与虚拟机 (一)、隔离与共
关闭或启动linux防火墙后,docker启动容器报错问题解决方式​​​​​​​
weixin_44380117的博客
09-09 1167
.
docker容器访问外部mysql
05-31
要在 Docker 容器访问外部的 MySQL,可以通过以下步骤实现: 1. 确保外部 MySQL 的监听地址允许来自 Docker 容器访问。在 MySQL 配置文件 `my.cnf` 中,将 `bind-address` 配置为 `0.0.0.0`,以允许来自任何...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值