firewall 整合 docker:指定 ip 请求 docker

最新推荐文章于 2024-07-09 09:14:21 发布
最新推荐文章于 2024-07-09 09:14:21 发布
阅读量2.2k 收藏 6
点赞数
分类专栏: docker 文章标签: docker 容器 firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36835255/article/details/124647015
版权

知识准备

  1. 主要演示的是 centos7 的 firewall,firewall 是 centos7 的默认自带防火墙。
  2. firewall 的底层是 iptables
  3. firewall 中的 chain 可以理解为是防火墙的策略组
  4. docker 在和宿主机进行端口映射时,会自动绕开 firewall 的 zone 组,直接向 iptables 写入策略,
    这也是为什么明明开启了firewall,而且没有打开 docker 映射的端口,但外界依然能够通过这个映射端口连接上 docker

例如,启动 mysql 容器,容器和宿主机映射 3306 这个端口,
然后查看 firewall 的 chain,输入命令
iptables -nvL

在这里插入图片描述
可以看到在 DOCKER 这个 chain自动写入了一条策略,destination 是容器的 ip , tcp:dpt:mysql 是 mysql 端口,target 是 ACCEPT,表示接受流量,特别留意 source,这个是流量来源,可以看到 docker 自动写入这个策略是对 mysql 端口任意的请求,都放行

这样子就使得 firewall 形同虚设,引出了下面的需求

需求

firewall 要对 docker 的端口请求有黑白名单,也就是要指定的 ip 才能请求 docker 映射的端口。

解决方案

  1. 修改 /etc/docker/daemon.json,将 iptables 设为 false·

在这里插入图片描述
这样子 docker 就不会向 iptables 写入策略,也就是不会自动打开宿主机的端口,任何请求都不会连接上 docker 。这个方法并不推荐,这样子 docker 无法解析 dns,也就是无法请求外界,而且容器之间也无法请求对方的端口。

  1. 覆盖 DOCKER-USER (推荐)

在这里插入图片描述
通过命令 iptables -L 可以看到 docker 自动写入的 chain ,其中有一个是 DOCKER-USER,通过 docker 的文档可以知道,可以在 DOCKER-USER 这个 chain 里添加自定义的策略

那么下面就演示 覆盖 DOCKER-USER 自定义策略

步骤

  1. 停止 docker : systemctl stop docker
  2. 删除 DOCKER-USER 这个 chain,并重建
firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER

过程中会有一些 warn 提示,可以不用管

  1. 建拒绝所有请求的策略,级别是最低,也就是放在策略组的最后一行
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 -j REJECT
  1. 建允许来自 docker0 网卡的请求流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -i docker0 -j ACCEPT
  1. 建允许 docker0 网卡 到宿主机网卡的请求流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -i docker0 -o ens33 -j ACCEPT

这里我宿主机网卡名称是 ens33

  1. 建允许 docker 请求外界
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  1. 建允许来自 docker 自定义网段的请求流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 172.23.0.0/24

172.23.0.0 是我自定义的 docker 网段

  1. 建允许来自指定 ip 的请求流量
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -s 192.168.26.5/32 -j ACCEPT
  1. 重载 firewall
firewall-cmd --reload
  1. 启动 docker

这样子就实现了 firewall 的白名单功能,提高了 docker 的安全性。

兔帮大人
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Docker 如何分配宿主机网段 IP
01-11
研究了下 docker 网络,记录一下如何分配宿主机网段 IP 创建 macvlan 网络 关于 Docker 网络模式这里不再细说;由于默认的网桥方式无法满足需要,所以需要创建一个 macvlan 网络 代码如下: docker network create -d ...
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
docker 映射端口穿透内置防火墙
伟庭的博客
06-29 2360
docker 映射端口穿透内置防火墙
《Linux运维总结:基于Centos系统使用firewalld为docker容器配置防火墙策略》
东城绝神
11-09 8973
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
使用firewall-cmd配置Docker防火墙规则
最新发布
Leon_Jinhai_Sun的博客
07-09 181
使用firewall-cmd配置Docker防火墙规则
Centos7防火墙设置(限制Docker
Think in Java
04-07 854
IP127.0.0.1可以访问9200端口。
防火墙开启状态下,启动docker/容器 报错
尘风yf的博客
09-26 758
防火墙开启状态下,启动docker/容器 报错:Failed to start Docker Application Container Engine.
解决docker容器映射的端口无法用firewalld防火墙管理的问题
dongsiwxy的专栏
12-19 1104
如果添加rich-rule出现错误输入,可以把--add-rich-rule替换为--remove-rich-rule再执行一遍命令,就能删除这条错误的规则。3.3 添加rich-rules防火墙规则,仅允许192.168.0.184 访问9200端口。这样设置,即使重启操作系统,也仅有192.168.0.184能访问9200端口。3.2从防火墙中删除9200端口,如果没有,可忽略这一步。3.1 查看防火墙是否开启了9200端口。:上面的命令要在一行中输入,不能分行。重启服务器,让配置生效。
docker配置firewall防火墙
qyq88888的专栏
07-07 2355
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问,1、Dokcer禁用。
ufw-docker-automated:使用UFW管理Docker容器防火墙!
02-06
ufw-docker-automated 用UFW管理Docker容器防火墙! 如果使用docker,您可能知道docker的publish port函数(例如: docker -p 8080:80 )直接与iptables对话并相应地更新规则。 这与Ubuntu / Debian的ufw防火墙...
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
09-29
主要介绍了在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker-fail2ban:基于Alpine Linux的Fail2ban Docker映像
03-17
关于基于Alpine Linux的 Docker映像。 如果您有兴趣,我的其他Docker映像! :light_bulb: 想要收到新版本的通知吗? 退房 :bell: 项目!图像登记处图像crazymax/fail2banghcr.io/crazy-max/fail2ban 提供此图像的...
Docker开启远程安全访问的图文教程详解
09-29
同时,修改Docker守护进程的配置,指定只接受来自白名单的IP地址或域名。在Docker守护进程启动参数中添加 `--tlsverify` 和 `--tlscacert`、`--tlscert`、`--tlskey` 参数。 例如: ```bash ExecStart=/usr/bin/...
详解使用docker 1.12 搭建多主机docker swarm集群
09-30
docker swarm init --advertise-addr <manager_node_ip> ``` 这将返回一个加入集群的命令,你需要在其他主机(Agent节点)上运行这个命令来加入集群。 Swarm模式提供了几个关键的命令来管理集群、节点和服务: 1....
Centos7.0安装离线安装docker
05-09
**解压安装 Docker:** ```bash tar --strip-components=1 -xvzf docker-1.12.3.tgz -C /usr/local/bin ``` 此命令会将解压后的文件放到 `/usr/local/bin` 目录下。 **验证 Docker 版本:** ```bash docker --...
docker-1.7.0 rpm包
08-22
Docker 是一个开源的应用容器引擎,它基于 Go 语言并遵循 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是...
如何在CentOS7上使用防火墙保护Docker容器的端口
Arvin Rong's Space
02-13 1474
在主机或虚机上运行Docker容器时,即便主机启用了firewalld服务,仍然存在一些安全隐患,尤其是当Docker容器内打开端口并监听0.0.0.0时,存在即使通过firewall-cmd配置了阻止某些端口被外部访问也不生效的问题,firewall-cmd配置阻止的端口实际测试下来还是公开并对所有请求开放的。我测试的场景:在CentOS 7.9上安装了Docker版本20.10.17,并运行了一个Docker容器,该容器在3000端口上打开并监听0.0.0.0。我通过。
DockerFirewalld冲突怎么办?教你几招搞定docker网络
Task深水炸弹
06-09 9716
为啥要研究这个问题?docker-ce 默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信和容器与宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值