ubuntu系统下ufw无法禁用docker映射的端口

最新推荐文章于 2024-05-14 09:47:59 发布
最新推荐文章于 2024-05-14 09:47:59 发布
阅读量2.5k 收藏 6
点赞数 3
分类专栏: docker 文章标签: docker linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36719391/article/details/127925838
版权

一,背景

公司垃圾,接手项目的时候 发现之前的人为了方便玩docker装的ubuntu,第一种:有直接在系统上跑的服务(如 端口8081的java服务),第二种:有跑在docker上的服务(这里又分两种情况,第一种情况,docker内部端口和宿主机映射端口号相同,如docker内部端口8082映射宿主机的8082第二种情况,映射端口不相同,如docker内部的端口8083映射到宿主机的8084端口)。需要解决漏洞通过防火墙对端口访问添加一定的规则。

二,对宿主机端口添加规则

1,sudo apt-get install ufw(更新源)

2,sudo apt install ufw(下载ufw)

3,sudo ufw enable(开启ufw)

4,sudo ufw default deny(禁用默认规则,强调一遍这一步很重要!否则你直接添加规则可能无效)

5,ufw allow from 172.17.1.1 to any port 8081 (添加规则,允许172.17.1.1访问本机的8081端口)

6,sudo ufw allow 8081(添加规则,允许所有机器访问53端口,此步和第5步选合适自己的)

7,sudo ufw reload (重启防火墙使规则生效)

8,sudo ufw status 或者sudo ufw status verbose(检查ufw的状态及查看添加的规则)

三,对docker映射的端口添加规则

(一)内外部端口相同

1,iptables -nL(查看iptables列表)
链路中 有
RETURN     all  --  0.0.0.0/0            0.0.0.0/0 

2,iptables -D DOCKER-USER 1(删除上述RETURN的规则,但是 添加完后还要加回来)

3,iptables -A DOCKER-USER -s 172.17.1.1 -p tcp --dport 8082 -j ACCEPT(添加规则,允许172.17.1.1访问8082 。如果有多个需要允许的 请添加完再执行第4步,这玩意好像有先后顺序 碰到DROP就不往下走了)

4,iptables -A DOCKER-USER -p tcp --dport 8082 -j DROP(拒绝不信任的所有访问,也就是拒绝没有添加的ip访问8082,有多个 也是添加完再执行第5步)

5,iptables -A DOCKER-USER -j RETURN(将刚才删除的RETURN 本身就有的一条规则,这条很重要!)

6,iptables-save(保存规则)


一定要注意顺序!一定要注意顺序!一定要注意顺序!

(二)内外部端口不同

和上一个差不多就是 不禁用 8083本地宿主机端口,而禁用8084 docker内部的端口
1,iptables -nL(查看iptables列表)
链路中 有
RETURN     all  --  0.0.0.0/0            0.0.0.0/0 

2,iptables -D DOCKER-USER 1(删除上述RETURN的规则,但是 添加完后还要加回来)

3,iptables -A DOCKER-USER -s 172.17.1.1 -p tcp --dport 8084 -j ACCEPT(添加规则,允许172.17.1.1访问8084 。如果有多个需要允许的 请添加完再执行第4步,这玩意好像有先后顺序 碰到DROP就不往下走了)

4,iptables -A DOCKER-USER -p tcp --dport 8084 -j DROP(拒绝不信任的所有访问,也就是拒绝没有添加的ip访问8084 ,有多个 也是添加完再执行第5步)

5,iptables -A DOCKER-USER -j RETURN(将刚才删除的RETURN 本身就有的一条规则,这条很重要!)

6,iptables-save(保存规则)

一二种情况都存在 只需  执行这里的3,4步即可
一定要注意顺序!一定要注意顺序!一定要注意顺序!

(三)其他命令

iptables -nL(查看添加的规则)
iptables -nL --line-number | more(显示行数的查看添加的规则)

iptables -nL --line-number | more查看后效果图

 还可根据 iptables -D DOCKER-USER 1/2/3/4 来删除对应的规则

希望各位道友避坑!!!!!!!

KclownE
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Ubuntu环境搭建Docker
向小雅的博客
10-10 517
Ubuntu环境搭建Docker 检查kernel版本,是否在3.10以上 uname -r 卸载旧版本 sudo apt-get remove docker docker-engine docker.io containerd runc orsudo apt-get remove -y docker-* 允许apt通过https使用repository安装软件包 sudo apt-get install \ apt-transport-https \ ca-certificates \
ufw-docker-automated:使用UFW管理Docker容器防火墙!
02-06
ufw-docker-automated 用UFW管理Docker容器防火墙! 如果使用docker,您可能知道docker的publish port函数(例如: docker -p 8080:80 )直接与iptables对话并相应地更新规则。 这与Ubuntu / Debian的ufw防火墙管理器发生冲突,并使其变得无用。 (换句话说,在Centos / Redhat / Fedora的firewalld )。ufw不知道他们的秘密谈话,只做他所知道的。 这在UFWDocker防火墙问题上造成了很大的混乱。 为了解决这个问题,很多人说这不是码头工人的问题。 然而,泊坞窗并未“修复”
记录一下Ubuntu的一些坑
qq_53679247的博客
12-19 2552
记录一下,今天遇到了一个坑,搞了一下午,就是Ubuntu这个服务器的话,它除了需要在腾讯的那个控制台开一次防火墙的端口外,你还要进入Ubuntu内部命令行,利用命令行再开一次防火墙的端口,这样这个端口才能访问,否则就访问不了,麻了,这就是它与centos最大的区别,我.......。sudo ufw allow 22/tcp #允许所有的外部IP访问本机的22/tcp端口(ssh)sudo ufw allow smtp #允许所有的外部IP访问本机的25/tcp端口(smtp)4. 不允许访问特定端口
学习iptables 学习查看docker网络配置
最新发布
勤不了一点
05-14 144
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
ufw无法拦截docker端口访问处理
oracle123321的博客
05-05 1741
1、修改ufw默认的配置 vi /etc/default/ufw #把DEFAULT_FORWARD_POLICY修改为下面 DEFAULT_FORWARD_POLICY="ACCEPT" 2、修改docker文件 vi /etc/default/docker #修改文件 #DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 -iptables=false" DOCKER_OPTS="--
UFW 拦截不了 Docker映射端口
不是程序员
10-17 1726
通过iptables -L 可以查看到 nat优先级比较高.  网上很多教程都是说修改iptables 规则优先级.其实可以启动docker的时候 -p参数增加本地ip 地址如:sudo docker run -itd -p 127.0.0.1:3306:3306 -v /home/用户名/mysql/data:/data/mysql/data -v /home/用户名/mysql/log:/da
docker处于ufw防火墙的控制下 ufwdocker转发端口不起作用
sinat_33384251的博客
07-01 5442
最近在使用docker时遇到了一个大坑:运行一个实例时,将宿主机的一个端口映射docker的一个实例,也就是使用-p 8080:80命令运行后,端口呢是能在宿主机上直接访问了,但是我突然发现我在本地居然也能访问服务器上的8080端口号,这就不科学了,因为我通过ufw把8080禁止的呀! 查资料可知,dockerz直接在iptables上进行修改,ufw的设置对它没有作用。下面是解决办法。 修改u...
Ubuntuufw 无法管控 Docker 端口的问题解决
05-30 959
1. 编辑 docker 配置文件 cd /etc/default [sudo] vim docker 2. 添加配置项 DOCKER_OPTS = "--iptables=false" 3. 重启 docker [sudo] systemctl restart docker 参考:H...
Ubuntu系统中防火墙UFW设置方法步骤.pdf
10-12
标题提及的"Ubuntu系统中防火墙UFW设置方法步骤"主要涉及的是Ubuntu操作系统中的Uncomplicated Firewall(UFW)的配置和使用。UFW是一个基于iptables的简单防火墙管理工具,设计初衷是为了提供一个用户友好的界面,...
Ubuntu系统中防火墙UFW设置方法步骤.docx
10-12
Ubuntu系统中防火墙UFW设置方法步骤 UFW(Uncomplicated Firewall)是一种轻量级的防火墙工具,主要用于 Ubuntu 操作系统。它提供了一个简单易用的界面来配置防火墙规则。UFW 是基于 iptables 的,但它提供了一个...
记一次ubuntu利用iptables做端口转发的操作
01-09
同事从海外远程连接国内某云上的一台机器3389端口,发现因为运营商路由原因非常慢,找运营商修改路由又非常麻烦。于是曲线救国,找了国内一台到两边访问都较快的机器做为跳板,做一个端口转发,以加速云机器3389端口...
python module ufwubuntu的防火墙遇到问题的包
11-23
Python模块ufw(Uncomplicated Firewall)是Ubuntu操作系统中用于管理防火墙的工具,它提供了一个用户友好的命令行界面来设置和管理iptables规则。在遇到问题时,可能是因为Python版本不兼容导致ufw无法正常运行。这...
linux防火墙UFW无法Docker容器生效
weixin_42220704的博客
12-13 390
想通过ufw防火墙暂时关闭某个docker应用的端口,发现无法关闭,经过排查发现在创建容器时docker已经自动将映射端口写入iptables配置了,ufw是iptables的前端所以iptables配置权限高于ufw配置;通过命令查看防火墙状态,docker已经自动将映射端口写入iptables配置。
ufw防火墙规则不生效
weixin_30408309的博客
09-04 2874
正式站系统Ubuntu 16.04.6 一、今天一个项目有百度爬出,在nginx中封掉还在一直爬取,都403还不停爬取 二、在uwf封掉爬出ip,想封掉80端口没有用,然后封掉整个网段还是没有用,尴尬 三、放出终极大招 UFW(iptables)规则的匹配基于规则出现的顺序, 一旦匹配某个规则,检查便会停止。因此,如果某个规则允许访问TCP端口22(如使用udo...
ubuntu 防火墙端口设置
Hello_Ray的博客
05-14 2197
本文是笔记 添加6379访问,永久访问 firewall-cmd --zone=public --add-port=6379/tcp --permanent 重新加载防火墙生效上面的配置 firewall-cmd --reload
ubuntu下使用ufw保护docker容器
weixin_34311757的博客
12-04 416
为什么80%的码农都做不了架构师?>>> ...
ubuntu下面ufw管住docker端口
qq_43548107的博客
12-21 1179
1.修改ufw默认的配置 vim /etc/default/ufw 把DEFAULT_FORWARD_POLICY修改成下面这样 DEFAULT_FORWARD_POLICY=“ACCEPT” vim /etc/ufw/before.rules 在文件末尾添加下面内容 *nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE COMMIT 2.修改docker的默认配置
docker修改服务器防火墙,让docker处于ufw防火墙的控制下
weixin_42157567的博客
08-04 610
文章目录[隐藏]修改ufw默认的配置修改docker的默认配置修改/etc/ufw/before.rules新增文件/etc/docker/daemon.json重启系统最近在使用docker时遇到了一个大坑:运行一个实例时,将宿主机的一个端口映射docker的一个实例,也就是使用-p 8080:80命令运行后,端口呢是能在宿主机上直接访问了,但是我突然发现我在本地居然也能访问服务器上的8080...
解决关于docker运行容器自动开放端口问题 firewall无法控制docker端口情况
weixin_45406882的博客
07-04 3388
这个问题之前没发现 后来我无意之中看了下firewall的端口情况 ? surprise mothercker 明明没有开启elasticsearch9200端口 外网依然可以访问 当时人就傻了 疯狂查资料 docker在运行容器的会修改iptables 在百度上找了一个来小时 没有任何进展 转换至谷歌搜索 五秒钟找到了答案 建议有能力还是选择科学上网 主要参考原文章 由于笔者使用的centos8 所以就只介绍cent系统 ubuntu系统那原文章里有 #修改/usr/lib/systemd/syst
ubuntu20.04 ufw 端口映射配置
04-05
Ubuntu 20.04使用的是ufw(Uncomplicated Firewall)作为默认的防火墙管理工具。ufw可以通过配置端口映射来实现网络流量的转发。下面是配置ufw端口映射的步骤: 1. 首先,确保已经安装了ufw。如果没有安装,可以使用以下命令进行安装: ``` sudo apt update sudo apt install ufw ``` 2. 启用ufw防火墙: ``` sudo ufw enable ``` 3. 添加需要映射端口: ``` sudo ufw allow <port_number>/<optional_protocol> ``` 其中,`<port_number>`是需要映射端口号,`<optional_protocol>`是可选的协议(如TCP或UDP)。例如,要映射SSH端口(默认为22),可以使用以下命令: ``` sudo ufw allow 22/tcp ``` 4. 配置端口映射: ``` sudo ufw route allow <incoming_port_number> to <destination_ip_address> port <destination_port_number> ``` 其中,`<incoming_port_number>`是外部访问的端口号,`<destination_ip_address>`是目标IP地址,`<destination_port_number>`是目标端口号。例如,要将外部访问的8080端口映射到本地的80端口,可以使用以下命令: ``` sudo ufw route allow 8080 to 127.0.0.1 port 80 ``` 5. 查看ufw的配置: ``` sudo ufw status ``` 6. 如果需要删除端口映射规则,可以使用以下命令: ``` sudo ufw delete allow <port_number>/<optional_protocol> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值