Linux系统firewalld无法拦截docker映射端口

于 2024-10-04 00:00:00 发布
阅读量142 收藏 1
点赞数 5
分类专栏: window&linux操作系统 文章标签: linux docker 运维 防火墙 frewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27815483/article/details/142632144
版权

【问题描述】

在服务器上设置了防火墙规则,旨在限制只有特定的两个IP地址能够访问2181、6379、9200端口。但在测试时发现:

2181端口(直接监听在宿主机上)被拒绝访问,符合预期。

9200和6379端口(docker容器映射的端口)可以正常访问,与预期不符。

 

【问题分析】

排查思路如下:

1、检查firewalld的状态,发现存在警告信息。

 

2、考虑到docker容器在启动时会自动配置iptables规则以允许容器端口的访问。推测firewalld可能在启动时或规则重载时删除了docker自动添加的iptables规则。

原因说明如下:

firewalld在启动时或规则重载时,会清除iptables中的部分或全部规则,这会影响到docker容器通过iptables映射的端口。docker在默认情况下会使用iptables来管理容器的网络流量,包括端口映射。因此,当firewalld与docker同时运行时,如果firewalld的配置或启动顺序不当,可能会导致docker容器的端口映射失效。

【问题解决方法】

通过修改docker服务配置,禁用docker对iptables的自动管理解决。详细步骤操作如下:

vim /etc/systemd/system/docker.service

在在[Service]部分下,找到ExecStart=行,并在其后面添加--iptables=false参数。

 

systemctl daemon-reload

systemctl restart docker

技术瘾君子1573
关注
专栏目录
docker 通过 firewalld、iptables 端口映射 及 解决外部主机无法访问问题
JineD的博客
02-24 7892
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
MR.骑士道
11-03 1274
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 8572
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
解决Centos7 Firewalld无法限制docker端口问题
Hu_wen的专栏
08-15 1735
在配置文件 /etc/docker/daemon.json 文件中添加"iptables": false。然后重新加载docker服务配置。再重启docker服务。
Firewalld无法控制docker端口
ltp1964234252的博客
07-25 573
Firewalld无法控制docker端口
解决docker容器映射端口无法firewalld防火墙管理的问题
dongsiwxy的专栏
12-19 1199
如果添加rich-rule出现错误输入,可以把--add-rich-rule替换为--remove-rich-rule再执行一遍命令,就能删除这条错误的规则。3.3 添加rich-rules防火墙规则,仅允许192.168.0.184 访问9200端口。这样设置,即使重启操作系统,也仅有192.168.0.184能访问9200端口。3.2从防火墙中删除9200端口,如果没有,可忽略这一步。3.1 查看防火墙是否开启了9200端口。:上面的命令要在一行中输入,不能分行。重启服务器,让配置生效。
linux firewalldocker暴露的端口无效 问题解决
weixin_44670774的博客
04-11 2164
firewalldocker暴露出去的端口不生效,明明没有将docker暴露的端口放到public域,docker暴露的端口仍然能被外部访问。更加严重的问题是,不在firewall配置的白名单中的ip也能访问。
docker端口 firewalld 限制 不了
@chenk的博客
11-23 1793
docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。 # 查询DOCKER表并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则,这里添加了允许访问ip的限制 iptables -R DOCKER 5 -p tcp -m tcp -s 192.168.1.0/24--dport 3000 -j ACCEPT ...
排查Docker端口映射后外部无法访问的问题
总想试试,万一成了呢??
04-26 9021
情境描述 创建一个docker容器,并进行端口映射。容器启动后,在部署容器的主机上可以访问映射端口,但是其他主机无法访问。 问题排查 出现上述情况,应是请求被拦截。出现该问题的可能是由于firewall配置异常、ip转发关闭、iptables服务拦截了请求 排查firewall (1) 使用firewall-cmd --state查看防火墙运行情况 如果防火墙处于not running,则可以排除...
Docker 端口 问题排查思路
shiter编写程序的艺术
05-24 585
文章大纲从网络方向查找问题⼀、查看firewall-cmd --state⼆、ip转发没有打开从容器方向查找问题端口映射的问题其他需要注意的问题参考文献 从网络方向查找问题 docker容器内提供服务并监听8888端⼝,要使外部能够访问,需要做端⼝映射docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端⼝服务,但是在B却不能访问。这应该是由于请求被拦截。 ⼀、查看firewall-cmd --state 如果
Docker与虚拟化
day day up
09-17 712
通过虚拟化技术将一台计算机虚拟为多台逻辑计算机,在一台计算机上同时运行多个逻辑计算机,同时每个逻辑计算机可运行不同的操作系统。应用程序都可以在相互独立的空间内运行而互相不影响,从而提高计算机的工作效率。①在一个操作系统中(win10)模拟多个操作系统(centos、win10、suse),同时每个操作系统可以跑不同的服务(ngint tomcat),从而实现一台宿主机搭建一个集群(从整体)②通过软件/应用程序的方式,来实现物理硬件的功能(ensp)
Docker概念与基础操作
m0_71518373的博客
10-16 994
docker是一种轻量级的“虚拟机”,Docker是一个用于开发,交付和运行应用程序的开放平台。Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。“快速开发,随处运行” ------docker可以让开发者们打包应用及依赖包到一个可移植的镜像中,然后发布到任何流行的linux或者window机器中。
虚拟化容器技术Docker
chenjiyougu的博客
04-07 462
虚拟化容器技术 Docker 介绍 利用虚拟化技术封装特定应用的环境,具有隔离独立满足特定条件的“盒子”,相当于一个微版虚拟机。 具有启动速度快,资源利用率高,性能开销小,一次构建到处运行特性。 技术原理 cgroups:对任意进程分组化管理,可以进行资源分配,包括CPU时间,IO时间,内存大小等。 namespace:对进程进行资源隔离,包括网络,主机名,进程通信。用户权限,PID,文件系统等。 LXC(Linuxcontainer):旨在提供共享内核的OS级虚拟化方法,在执行时不需要重复加载
linux 网络序
CodeHouse的博客
09-30 423
在将ip字符串转网络序存储时。根据整形二进制显示判断。
Linux 安装redis主从模式+哨兵模式3台节点
一千个读者就有一千个哈姆雷特
09-27 427
Linux 安装redis主从模式+哨兵模式3台节点
Linux】进程间关系与守护进程
叫我龙翔的博客
10-02 703
超出能力之外的事,如果永远不去做,那你就永远无法进步。--- 乌龟大师 《功夫熊猫》---
Linux——pod的调度
Xinan_____的博客
09-27 1067
CronJob 的名称必须是一个合法的 DNS 子域值, 但这会对 Pod 的主机名产生意外的结果。如果应用程序不需要任何稳定的标识符或有序的部署、删除或扩缩, 则应该使用由一组无状态的副本控制器提供的工作负载来部署应用程序,比如 Deployment 或者 ReplicaSet 可能更适用于你的无状态应用部署需要。尽管 StatefulSet 中的单个 Pod 仍可能出现故障, 但持久的 Pod 标识符使得将现有卷与替换已失败 Pod 的新 Pod 相匹配变得更加容易。
Linux 安装 yum
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-02 286
这里以 CentOS 7 为例在终端依次执行上述三条命令,下载 yum 的安装包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术瘾君子1573

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值