无法访问云服务器安全组已经开放的IP和关闭防火墙后Docker出现iptables问题

已于 2022-05-16 11:51:06 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: 大运维 文章标签: docker linux
于 2020-12-30 17:06:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26003101/article/details/111994524
版权

文章目录

1、问题描述

之前购买过云服务器后,不仅加了安全组,也开启了防火墙。

安全组 VS 防火墙

安全组作用于虚拟机网卡,而防火墙则是在VPC路由器上,保护整个VPC;
安全组是分布式部署的,在每个计算节点上都会存在,而防火墙是集中式,把VPC路由器变成了防火墙;
安全组是白名单机制,仅支持允许策略,防火墙可以自定义规则行为是允许还是拒绝;
安全组规则根据配置顺序来定优先级,防火墙则可以自定义优先级;
安全组规则的匹配内容包括源IP、源端口、协议,防火墙则包括五元组以及TCP flag、ICMP Type、报文状态。

碰到的问题如下:

举例端口 61504

首先开放安全组中的61504端口,不限制任何IP访问。

当使用docker容器启动java工程使用 -p 61504:61504来映射IP,这个时候外网访问是通的。

当直接把java工程包部署在宿主机时,外网却无法访问。

2、解决

2.1、关闭防火墙

关闭防火墙

[root@AlexWong fastdfs]# systemctl stop firewalld
[root@AlexWong fastdfs]# telnet 124.71.81.53 61504
Trying 124.71.81.53...
Connected to 124.71.81.53.

但是关闭防火墙后,Docker部署的FastDFS应用又出现以下错误

# 启动container的时候出现iptables: No chain/target/match by that name
348f6ed9d3be2ea8983ca428481fbc4be05c5b4e9c58882e7ffafb488ebbae82
docker: Error response from daemon: driver failed programming external connectivity on endpoint storage-test (ae14346ea9dd60809350abf969ef5453dd8815cf0ca30a0a8dedaf5c53a535c9):  (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 23000 -j DNAT --to-destination 172.17.0.2:23000 ! -i docker0: iptables: No chain/target/match by that name.
 (exit status 1))

iptables: No chain/target/match by that name,是跟iptables有关

大概原因是刚开始时是启动了防火墙,然后docker server启动的时候,docker netword是需要操作iptable chain对容器进行网络配置。后来我们关闭了防火墙,docker network无法对新container进行网络配置,然后就会报这个错误

一般,Docker安装完成后,将默认在宿主机系统上增加一些iptables规则,以用于Docker容器和容器之间以及和外界的通信

所以我们考虑重启Docker或者重启机器。

[root@AlexWong fastdfs]# systemctl restart docker

重启后,启动容器不会报错

但是又出现了Storage的以下错误

错误1:

[root@AlexWong fastdfs]# docker logs storage-test
ngx_http_fastdfs_set pid=9
try to start the storage node...
tail: cannot open '/var/fdfs/logs/storaged.log' for reading: No such file or directory

# 这种情况需要先删除老的在后台的容器
[root@AlexWong fastdfs]# docker ps -a
CONTAINER ID   IMAGE                COMMAND                  CREATED         STATUS                       PORTS                                                     NAMES
b04029446be0   delron/fastdfs       "/usr/bin/start1.sh …"   8 minutes ago   Exited (1) 8 minutes ago                                                               storage-test
[root@AlexWong fastdfs]# docker rm storage-test

错误2:

[2020-12-30 07:15:31] ERROR - file: tracker_proto.c, line: 48, server: 124.71.81.53:22122, response status 22 != 0
[2020-12-30 07:15:31] ERROR - file: storage_ip_changed_dealer.c, line: 114, tracker server 124.71.81.53:22122, recv data fail or response status != 0, errno: 22, error info: Invalid argument

这时候考虑也许是历史storage和tracker的问题,所以对两个挂载点文件夹里的文件都全部删除。然后重启了就好了

2.2、开启防火墙

安全组合防火墙是相辅相成,不一定是开了安全组,就一定不能开放防火墙。所以我们测试同时开启是怎么配置,才能不影响访问。

再次开启防火墙

# 开启防火墙
[root@AlexWong fastdfs]# systemctl start firewalld
# 查看开放的端口
[root@AlexWong fastdfs]# firewall-cmd --list-ports
# 开放端口(修改后需要重启防火墙方可生效)
[root@AlexWong fastdfs]# firewall-cmd --add-port=61504/tcp --permanent
success
# 重启防火墙(每次修改都要重启)
[root@AlexWong fastdfs]# firewall-cmd --reload
success
# 查看开放的端口
[root@AlexWong fastdfs]# firewall-cmd --list-ports
61504/tcp

不过一般情况,开启安全组后,不需要再开启服务器内部的防火墙。

2.3、扩展知识

服务器有两种防火墙

  • iptables
  • firewalld

这两个防火墙只能开一个,也可以两个都不开,不开就是全部支持访问的意思。我这台服务器默认开启firewalld

iptables

# 先查看有没有安装 
systemctl status iptables.service

# 安装iptables:
yum install iptables

# 安装iptables-services:
yum install iptables-services

# 开启防火墙:
systemctl start iptables.service

# 关闭防火墙: 
systemctl stop iptables.service

# 查看防火墙状态: 
systemctl status iptables.service

# 设置开机启动:
systemctl enable iptables.service

# 禁用开机启动:
systemctl disable iptables.service

# 查看filter表的几条链规则(INPUT链可以看出开放了哪些端口): 
iptables -L -n

# 清除防火墙所有规则:
iptables -F
iptables -X
iptables -Z

# 给INPUT链添加规则(开放8080端口): 
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

# 查找规则所在行号: 
iptables -L INPUT --line-numbers -n

# 根据行号删除过滤规则(关闭8080端口): 
iptables -D INPUT 1

firewall

# 查看防火墙状态: 
systemctl status firewalld

# 开启防火墙: 
systemctl start firewalld

# 关闭防火墙:
systemctl stop firewalld

# 设置开机启动:
systemctl enable firewalld

# 禁用开机启动:
systemctl disable firewalld

# 重启防火墙(每次修改都要重启):
firewall-cmd --reload

# 开放端口(修改后需要重启防火墙方可生效):
firewall-cmd --add-port=80/tcp –permanent

# 关闭端口:
firewall-cmd --remove-port=8080/tcp --permanent

# 查看开放的端口: 
firewall-cmd --list-ports

3、疑问

为什么Docker network不需要被防火墙firewall的规则限制,可以直接越过直接访问成功。而宿主机部署的服务,却需要开启防火墙端口呢?

查阅了一些资料,下面说法还是比较靠谱的

这不是docker绕过系统防火墙操作iptables,原因是docker网络是基于宿主机的,本身就只支持iptables。像firewalld之类的是后来在iptables上封装的,所以docker的网络规则会直接无视非iptables的防火墙,docker想做容器的网络操作也只能这么搞,他没法去动iptables这种系统防火墙,只能自己添加一个DOCKER规则。默认每次启动都会改掉防火墙。

[root@AlexWong fastdfs]# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:22122
ACCEPT     tcp  --  anywhere             172.17.0.3           tcp dpt:inovaport1
ACCEPT     tcp  --  anywhere             172.17.0.3           tcp dpt:ddi-tcp-1

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Docker走的是iptables中的Chain DOCKER。

[root@AlexWong fastdfs]# iptables -L DOCKER
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:22122
ACCEPT     tcp  --  anywhere             172.17.0.3           tcp dpt:inovaport1
ACCEPT     tcp  --  anywhere             172.17.0.3           tcp dpt:ddi-tcp-1

不过这个规则通过firewalld是看不到的,较新版本的redhat中加入firewalld主要是为了引入区域概念、简化操作和易于理解,说白了就是用于解放iptables冗长的命令。 可docker却是通过iptables来完成自身功能的,本质上firewalld是建立在iptables之上的一个应用。 所以:docker并不是绕过了防火墙,只是应为它往iptables里写了规则,你在firewalld里看不到而已。

稍后详细了解下firewalld和iptables的区别。

解忧杂货铺Q
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
问题起源 在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) Failed to connect to 172.17.0.1 port 80: No route to host 查找问题原因 可以确定的是容器与宿主机是有网络连接的, 因为可以在容器内部通过 172.17.0.1 Ping 通宿主机: root@930d07576eef:/# ping 172.17.0.1 P
一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历
09-09
这需要对iptables有深入了解,以确保只开放必要的端口和IP,同时保持服务器安全性。 在实际操作中,通常推荐第二种方法,因为保持服务器的基本防护是必要的。这需要运维人员根据公司安全政策和具体需求来定制...
centos7 stop iptables 出现问题
一介北漂
09-16 1081
centos从7开始默认用的是firewalld,这个是基于iptables的,虽然有iptables的核心,但是iptables的服务是没安装的。所以你只要停止firewalld服务即可:  sudo systemctl stop firewalld.service && sudo systemctl disable firewalld.service 如果你要改用iptables的话,
关于关闭防火墙docker启动不了容器
最新发布
m0_65330146的博客
06-24 261
还真是因为关闭防火墙,后来我重新开启防火墙,容器启动成功。上网搜索了一下说是什么关闭防火墙以后,那些网络规则被破坏不可用了,需要设置规则。使用最后一定要重启docker!一开始真不知道是什么问题,于是镜像重新拉取重新安装,最后都把虚拟机快照恢复了。结果可以了,于是我就想是不是我刚刚关闭防火墙导致。于是我立马又去把防火墙关了,然后再去启动。反复检查了是否运行,端口等一系列细节的操作,结果都不行。可以操作reids了,可是没想到另一个问题出现了,没办法启动容器了。于是去linux关闭防火墙
解决FastDFS 不同局域网上传下载文件无法正常访问/获取 Strorage 存储节点IP问题
技术博客
03-11 3344
前言 前几天自己搭建了一个小的练手项目,其中文件存储使用了 FastDFS 文件服务器 ,但是在实际部署时出现问题,由于项目是部署在阿里服务器上,FastDFS服务器部署在本地局域网通过端口路由的方式进行文件操作 ,两台服务器不在同一个局域网,导致项目连接Fdfs服务器时获取到的Storage存储节点为该局域网ip 上传下载文件都timeout。 后面查了下fastdfs-client的 源...
docker安装fastdfs服务问题(爬坑记录)
BiaoYBbiao的博客
12-11 1465
docker安装fastdfs服务问题(爬坑记录) 废话不多说,之所以写这个笔记,是因为遇到坑时,网上没有对应的解决方案,是自己花时间去摸索搞定的,希望遇到同样问题的你,可以省下些许时间做其他的事情. 1.docker安装fastdfs确实让fastdfs的安装简洁了太多了,最原始的安装简直要命,我也曾被折磨过,网上docker安装fastdfs的博文,有很多,大同小异,基本就是如下的内容: //...
fastdfs本地测试没问题,外网测试不能访问(本人亲身经历)
qq_40321119的博客
05-25 1865
1.java客户端配置 fdfs: tracker-list: - 外网IP:22122 2.tracker.conf配置 bind_addr= 默认就好 3.storage.conf配置 bind_addr=默认就好,选择默认的话可以使用netstat -ntlp查到端口号,使用localhost地址也可以查到,但是使用外网地址就查不到了 tracker_server=外网IP:22122这个就是访问外网的关键 ...
笔记24-JAVAEE之Linux和服务器
12-23
在JAVAEE开发中,了解和掌握Linux操作系统以及服务器的使用是至关重要的。Linux作为一款稳定、开源的操作系统,常被用作服务器平台,而服务器则提供了灵活、高效的资源分配方式,使得开发者可以快速部署和扩展...
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
在CentOS 7操作系统中,由于默认使用了firewalld防火墙服务,这可能导致与Docker容器之间的端口映射出现问题。当您尝试通过`docker run`命令将主机端口映射到容器端口,例如`docker run --name web_a -p 192.168.1....
修改mysql允许主机访问的权限方法
12-16
在遇到权限问题时,如报错、无法启动MySQL服务,或者在Docker环境中配置权限,都需要熟悉这些操作。同时,定期检查和调整权限策略,以适应不断变化的系统需求和安全环境,是保持数据库安全的重要环节。
Linux 出现telnet: 127.0.0.1: Connection refused错误解决办法
09-15
在Linux系统中,`telnet` 是一个网络协议客户端,用于测试远程服务器的TCP端口是否可用。当你尝试使用`telnet`连接到本地主机(127.0.0.1)时,如果遇到“Connection refused”错误,通常表示服务未运行或未正确配置...
解决FastDFS文件无法访问问题(docker中安装的)
qq_43593912的博客
06-05 5271
有时候我们会碰到通过FastDFS上传的文件突然间无法访问了,这是为啥呢???咱也不知道,咱也不敢问哪,不过我想到了一种解决办法,通过两条命令轻松搞定!!! 一、查看容器是否关闭 docker ps -a 如图所示,我们看到容器是开着的,我猜想可能是storage这个容器出了毛病 二、关闭storage容器 docker container stop storage 三、重启storage...
搭建fastdfs无法在浏览器访问nginx问题
Phj456的博客
04-26 4064
error.log日志文件报错信息:ERROR - file: ../tracker/fdfs_shared_func.c, line: 474, host "tracker" is invalid, error info: Unknown host 在fastdfs搭建成功的情况下,上传图片文件成功返回,在浏览器中输入地址,无法访问图片!
linux安装nginx防火墙,Centos7 防火墙关闭与nginx无法访问
weixin_36478445的博客
05-13 990
默认情况下,Centos7防火墙是打开的,如果你没有关闭他,你安装nginx后启动,是无法访问到nginx服务的。所以需要做这件事1、启动nginx启动前先看它启动没有,通过linux命令查看所有端口,看看有没有80netstat -ntlp如果没有,则通过命令启动sudo systemctl start nginx.service2、设置nginx开启启动sudo chkconfig nginx...
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport(Docker容器九类常见故障)
weixin_54626591的博客
08-28 8766
这两篇文章写的还是比较透彻的,主要就是防火墙映射转发之类的,需要了解下防火墙相关的只是,因此暂时不做深入了解,等有时间了再好好研究防火墙。##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止)网上有的说是只重启docker即可,即只执行systemctl restart docker,我自己也是这样解决掉问题的。网上其他的解决方法:基本都是重置docker0网络,重启docker。##重启docker服务。#重启iptables
linux 防火墙iptables
Zllvincent的博客
08-11 8354
一. 简介 笔者使用Jedis 连接 linux redis,始终报timeout 异常,关闭了linux 防火墙iptables 后能正确访问,但是为增强系统安全性,防火墙还是非常实用的防攻击软件,增加6379 端口作为redis 服务端口, iptables -A INPUT -p tcp -dport 6379 -j ACCEPT iptables -A OUTPUT -p tcp -spo...
Linux关闭防火墙docker无法联网没有网络青龙面板执行任务403
m0_73465668的博客
04-04 488
重启docker服务就好了。
Docker安全
weixin_51129538的博客
02-01 284
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过
Docker(十一)--Docker安全
qwerty1372431588的博客
01-28 1738
安全1. 理解Docker安全2. 容器资源控制2.1 cpu限额2.2 资源争抢2.3 内存限制2.3.1 使用指令进行内存的限制2.3.2 使用规则文件进行限制2.4 Block IO限制3. docker安全加固3.1 LXCFS3.2 --privileged=true(相当于真正的root)3.3 设置容器白名单:--cap-add3.5 其他一些安全加固 1. 理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面
docker安装的mysql外网无法访问
07-28
5. 如果你使用的是服务器,例如 AWS、Azure 或者阿里,确保安全组或网络 ACL(访问控制列表)允许从外部访问 MySQL 端口。 请注意,将 MySQL 暴露给外部网络可能存在安全风险。建议仅在必要时才允许外部访问,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值