Docker 绕过了 firewalld 的问题

最新推荐文章于 2025-02-14 15:49:39 发布
最新推荐文章于 2025-02-14 15:49:39 发布
阅读量5k 收藏 17
点赞数 9
分类专栏: Linux 文章标签: docker 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43580193/article/details/120222339
版权
本文详细介绍了Docker如何绕过firewalld开启端口,以及由此引发的端口访问问题。在firewalld运行时,Docker通过直接修改iptables规则实现端口映射,但firewalld重启会覆盖这些规则,导致容器服务无法通过外网访问。解决办法是让Docker不修改iptables,通过设置"iptables": false使其受firewalld管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker 绕过了 firewalld 的问题

前言

我们的 firewalld 上没有开放该端口,但是在使用 Docker 的端口映射后我们就能够通过外网访问到该端口。

原因

默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewallddocker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口:

# 首先关闭 docker 和防火墙
systemctl stop docker
systemctl stop firewalld

# 查看 iptables
iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# 打开 docker
systemctl start docker
iptables --list
# 我们会发现在 iptables 里增加了许多 docker 的规则

# 我们启动一个容器并开启端口映射
docker run -dit -p 80:80 nginx
iptables --list

# 我们发现在 iptables 里增加了一条规则
# 它将 80(http) 端口的流量转发到了 172.17.0.2(我们开启的容器的地址)
...
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:http
...

通过上面的分析我们就知道了 docker 是通过在 iptables 中添加规则实现的端口映射。

那这个时候我们再开启防火墙,看看防火墙是如何修改的 iptables:

# 开启防火墙观察 iptables 的变化
systemctl start firewalld
iptables --list

...
Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,UNTRACKED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,UNTRACKED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgres ctstate NEW,UNTRACKED
...

开启防火墙后我们果然发现了我们通过 firewalld开启的端口规则。这下子我们终于弄懂了 docker 和 firewalld 之间的关系。

等等!!!

我们之前看到的 docker 的规则呢?

开启防火墙后我们发现在上面添加的 docker 的 iptables 的规则已经不见了,这个时候从外网访问 80 端口也被拒绝了!这又是怎么一回事呢?

原来 firewalld在开启时会自动刷新覆盖掉原来的 iptables 规则,这就导致了 docker 的规则被丢失。

因此 firewalld重启后需要再重启 docker的服务才能使 docker 正常启动。

使 docker 在防火墙规则下工作

由于 docker 这种脱离防火墙控制的行为具有一定危险性,并且为运维带来一定难度,因此我们需要让 docker 接受防火墙的管理。

既然 docker 是修改的 iptables 脱离的防火墙控制,那我们让他不修改 iptables 就可以解决问题了:

# 添加规则
vim /etc/docker/daemon.json

{
...
"experimental" : true,
"iptables": false
}

# 重启 docker
systemctl daemon-reload
systemctl restart docker

# 启动一个容器检验
docker run -d -p 80:80 nginx
iptables --list
# 发现 docker 没有添加规则
docker 通过 firewalld、iptables 端口映射 及 解决外部主机无法访问问题
JineD的博客
02-24 9430
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD没有在运行,且所有的防护策略都没有启动,那么可以排除防火墙阻断连接的情况了。 如果输出的是“running
docker 容器 绕过firewalld规则可直接被外部访问,问题处理
oToyix的博客
11-29 2026
问题1: 启动容器后,客户端访问服务时,会直接跳过firewalld规则,可以直接telnet容器端口 问题2: 容器访问宿主机端口需要单个开启端口规则,这里可以直接设置对宿主机容器开启权限 直接执行以下命令即可 EN_INTERFICE=`ifconfig |grep -E '^en'|awk -F":" '{print $1}'` cat>/etc/docker/daemon.json <<-EOF { "iptables": false } EOF cat>>/etc/s
五、Docker用iptables绕过firewalld问题
dears-app的博客
01-01 1499
Docker用iptables绕过firewalld问题
Linux Firewalld 配置指南:添加 Docker 接口
最新发布
Leon_Jinhai_Sun的博客
02-14 342
Linux Firewalld 配置指南:添加 Docker 接口
docker 映射端口穿透内置防火墙
伟庭的博客
06-29 2647
docker 映射端口穿透内置防火墙
dockerfirewalld冲突解决
liyanggyang的博客
04-26 4387
dockerfirewalld冲突解决
【CenOS7】firewalld docker
weixin_34092455的博客
10-31 243
[root@wode004 sysconfig]# systemctl status firewalld.service -lfirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)...
Docker安全
weixin_50355475的博客
04-06 651
Docker安全一、区别Docker容器与虚拟机(一)、隔离与共享(二)、性能与损耗二、Docker 存在的安全问题(一)、Docker 自身漏洞(二)、Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准(一)、内核级别(二)、主机级别(三)、网络级别(四)、镜像级别(五)、容器级别(六)、其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯 一、区别Docker容器与虚拟机 (一)、隔离与共
Centos7 不关闭防火墙 并运行Docker环境
qq_62987084的博客
06-19 837
不关闭防火墙 并运行Docker环境,解决方法是——配置防火墙以允许 Docker 的相关流量
Docker与防火墙问题——不让docker创建iptables规则
bland107的博客
07-26 484
所以就会出现防火墙没有开放端口,但容器启动后会自己开放,且在firewalld上是没有记录。在某一天,线上被扫出来一个服务漏洞,但是那个服务漏洞的端口不在firewalld防火墙上开放,查了大半天,发现docker自动会在iptable上面添加规则。有的到时候创建容器会因为eslinux的存在,到时一些奇奇怪怪的报错,所以这里先进行关闭。默认情况下当Docker启动容器映射端口时,会直接使用iptables开启添加端口。这里可以看出是docker问题,所以需要修改docker的配置。
Docker 安全及日志管理
2402_83805984的博客
07-25 1230
https的单向认证流程:0)服务端会事先通过CA签发服务端证书和私钥文件1)客户端发送https请求给服务端2)服务端会先返回一个包含公钥、证书有效期、CA机构信息等的服务端证书给客户端3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息4)客户端继续发送自己可支持的对称加密方案给服务端5)服务端会选择加密程度最高的加密方案,并通过明文方式发送给客户端。
docker安全
Yusheng9527的博客
03-16 982
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
centos7上docker部署的应用没开放的端口也能访问,Docker端口绕过开放问题解决
来自他乡的外星人的博客
07-16 573
centos7 上docker项目部署后,防火墙FireWall 端口规则没有放行,外部也能访问的问题。#在句尾ExecStart添加 --iptables=false。第二步:编辑docker.service。第一步:停止docker。第三步:开启docker。第四步:测试已经成功拦截。
防火墙不能控制docker容器端口--docker容器端口绕过firewall、centos7问题
qq_49380951的博客
11-11 756
解决防火墙不能控制docker容器端口--docker容器端口绕过firewall、centos7问题
《Linux运维总结:基于Centos系统使用firewallddocker容器配置防火墙策略》
热门推荐
东城绝神
11-09 1万+
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
firewallddocker 冲突问题
m0_67394006的博客
04-02 2785
造成冲突的主要原因是:iptables的存在。 firewalld 和 iptables 首先,firewalld 和 iptables 都不是防火墙,它们只是防火墙的管理程序,真正的防火墙是内核的netfilter。CentOs 6 中使用iptables来管理防火墙,到了CentOs 7 默认使用firewalld来管理防火墙,但需要注意的是 firewalld 的底层还是调用 iptables 的,firewalld在iptables的基础上加了许多很好用的功能。 firewalld 是系统服务,有守
dockerfirewalld
weixin_36328839的博客
07-30 71
配置说明登录后复制 由firewalld管理docker网络。1.firewalld查看活动区登录后复制 # firewall-cmd --get-active-zones1.登录后复制 public interfaces: ens331.2.配置规则登录后复制 firewall-cmd --permanen...
docker firewalld 防火墙设置
水彩橘子
07-19 1487
docker 默认会更改防护墙配置 导致添加的防火墙策略不生效,可以启用firewalld 重新设置策略。然后在在public zone 加入docker 映射的端口策略。将docker 接口导入 trusted区。将对外网口接入public。重启防火墙和docker
dockerfirewalld
weixin_64157795的博客
07-25 389
今天我再看,iptables策略又变了,目前这几条策略不知道是否是自动生成,你们原来的iptables策略我昨天没有截图,是否需要重新配置,之前的iptables是否通过其他进程调用了,你们在发布或者启动docker的过程中是否有对iptables进行刷新?昨天就是80不同,又或者是80到统一认证没通,应该是需要通过301转跳过去,但是没跳过去,反而8080是可以301到统一认证的。那我昨天看到的iptables策略,是docker接管以后匹配到的对吧?现在firewalld是关闭的,是否先开启?
ntrip 1.0通讯协议下载
07-20
### 回答1: Ntrip 1.0通信协议是一种用于实时差分全球定位系统(GNSS)数据传输的协议。Ntrip是Networked Transport of RTCM via Internet Protocol的缩写,意为通过互联网传输实时差分信号的网络传输协议。 要下载Ntrip 1.0通信协议,可以通过以下步骤进行: 1. 在互联网浏览器中搜索Ntrip 1.0通信协议下载。 2. 找到适用的下载链接,并单击下载按钮。 3. 等待下载完成。 4. 下载完成后,使用解压缩软件(如WinRAR或7-Zip)解压缩下载的文件。确保解压缩的文件夹位置方便访问。 5. 打开解压缩后的文件夹,其中应该包含Ntrip 1.0通信协议的文件和文档。 6. 如果有文档,请阅读文档以了解如何使用和配置Ntrip 1.0通信协议。 7. 在需要使用Ntrip 1.0通信协议的应用程序或设备中将其配置为接收实时差分数据的传输协议。 需要注意的是,Ntrip 1.0通信协议是为特定目的而设计的,主要用于实时差分GNSS数据的传输。在下载和使用协议之前,确保了解相关的技术要求和使用方法。此外,在使用Ntrip 1.0通信协议传输差分数据时,还需要考虑网络连接的稳定性和带宽要求,以确保数据传输的准确性和实时性。 ### 回答2: Ntrip(Networked Transport of RTCM via Internet Protocol)是一种用于实时传输差分GPS数据的通信协议。Ntrip协议的版本1.0用于下载Ntrip数据流,以便进行GPS差分校准。 要进行Ntrip 1.0通讯协议的下载,首先需要确保计算机已经连接到互联网,并且有相应的Ntrip客户端软件。接下来,可以按照以下步骤进行下载: 1. 打开Ntrip客户端软件,并进入配置设置。 2. 在配置设置中,输入Ntrip服务器的IP地址和端口号。这些信息通常由提供差分校准数据的服务提供商提供。 3. 输入用户名和密码,以进行身份验证。这些登录凭据也由服务提供商提供。 4. 确认所需的差分数据流的类型。这可以是RTCM格式或其他格式,具体取决于差分数据的提供商。 5. 点击“连接”按钮,以建立与Ntrip服务器的连接。 6. 一旦连接建立成功,Ntrip客户端将开始接收差分数据流。 7. 下载过程可能需要一段时间,具体取决于数据流的大小和网络连接的速度。 8. 下载完成后,可以将下载的数据应用于GPS设备以进行差分校准。 需要注意的是,使用Ntrip 1.0通讯协议进行下载时,应确保网络连接稳定,以避免下载过程中的传输中断或数据丢失。 希望以上对于Ntrip 1.0通讯协议下载有所帮助。 ### 回答3: NTRIP 1.0通讯协议是一种用于实时数据传输的协议,主要用于全球定位系统(GPS)和地理信息系统(GIS)应用中的数据传输和接收。它允许用户从参考站获取高精度的定位数据,以提高测量和定位的准确性。 要下载NTRIP 1.0通讯协议,可以按照以下步骤进行: 1. 首先,进入NTRIP协议的官方网站,例如www.ntrip.org。 2. 在官方网站上,寻找关于NTRIP协议的下载链接或资源页面。 3. 点击下载链接,将NTRIP 1.0通讯协议的安装文件下载到您的计算机中。通常,该文件为一个压缩文件(例如.zip或.gz),您需要解压缩文件以获取安装程序。 4. 解压缩文件后,在您的计算机上找到安装程序。双击运行安装程序,并按照提示完成NTRIP 1.0通讯协议的安装过程。 5. 安装完成后,您可以启动NTRIP 1.0通讯协议的应用程序,并根据您的需要进行设置和配置。 请注意,下载和安装NTRIP 1.0通讯协议可能需要一定的计算机技术知识和技能。如果您不确定如何进行下载和安装,建议咨询相关领域的专家或技术支持人员,以获取更详细的指导和帮助。与此同时,还可以通过查阅相关的用户手册、教程和在线资源来了解NTRIP 1.0通讯协议的具体用法和操作步骤。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值