Docker 绕过了 firewalld 的问题

最新推荐文章于 2024-04-12 15:22:18 发布
最新推荐文章于 2024-04-12 15:22:18 发布
阅读量3.1k 收藏 13
点赞数 6
分类专栏: Linux 文章标签: docker 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43580193/article/details/120222339
版权

Docker 绕过了 firewalld 的问题

前言

我们的 firewalld 上没有开放该端口,但是在使用 Docker 的端口映射后我们就能够通过外网访问到该端口。

原因

默认情况下当Docker启动容器映射端口时,会直接在iptables添加规则开启添加端口。而 firewalld 实际上也是在iptables写入规则。因此 firewallddocker属于是同级的应用,但是firewalld不会去检测 docker 写入的规则,就会导致 docker 可以开启firewalld没有允许的端口:

# 首先关闭 docker 和防火墙
systemctl stop docker
systemctl stop firewalld

# 查看 iptables
iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# 打开 docker
systemctl start docker
iptables --list
# 我们会发现在 iptables 里增加了许多 docker 的规则

# 我们启动一个容器并开启端口映射
docker run -dit -p 80:80 nginx
iptables --list

# 我们发现在 iptables 里增加了一条规则
# 它将 80(http) 端口的流量转发到了 172.17.0.2(我们开启的容器的地址)
...
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:http
...

通过上面的分析我们就知道了 docker 是通过在 iptables 中添加规则实现的端口映射。

那这个时候我们再开启防火墙,看看防火墙是如何修改的 iptables:

# 开启防火墙观察 iptables 的变化
systemctl start firewalld
iptables --list

...
Chain IN_public_allow (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,UNTRACKED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,UNTRACKED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgres ctstate NEW,UNTRACKED
...

开启防火墙后我们果然发现了我们通过 firewalld开启的端口规则。这下子我们终于弄懂了 docker 和 firewalld 之间的关系。

等等!!!

我们之前看到的 docker 的规则呢?

开启防火墙后我们发现在上面添加的 docker 的 iptables 的规则已经不见了,这个时候从外网访问 80 端口也被拒绝了!这又是怎么一回事呢?

原来 firewalld在开启时会自动刷新覆盖掉原来的 iptables 规则,这就导致了 docker 的规则被丢失。

因此 firewalld重启后需要再重启 docker的服务才能使 docker 正常启动。

使 docker 在防火墙规则下工作

由于 docker 这种脱离防火墙控制的行为具有一定危险性,并且为运维带来一定难度,因此我们需要让 docker 接受防火墙的管理。

既然 docker 是修改的 iptables 脱离的防火墙控制,那我们让他不修改 iptables 就可以解决问题了:

# 添加规则
vim /etc/docker/daemon.json

{
...
"experimental" : true,
"iptables": false
}

# 重启 docker
systemctl daemon-reload
systemctl restart docker

# 启动一个容器检验
docker run -d -p 80:80 nginx
iptables --list
# 发现 docker 没有添加规则
执笔苦行僧
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
探索 Docker 网络策略与 Firewalld 服务的协同工作
十年运维开发经验的王义杰在此分享自己的知识和经验
11-17 235
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none 和 overlay。每种模式都有其特定的用途和配置方法,影响着容器的网络隔离和通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站和出站流量进行更精细的控制,对于确保系统安全至关重要。理解 Docker 容器网络策略与 Firewalld 服务的交互关系,对于维护一个安全、高效的容器化环境至关重要。
docker安装及问题分析
01-04
docker安装
docker 容器 绕过firewalld规则可直接被外部访问,问题处理
oToyix的博客
11-29 1597
问题1: 启动容器后,客户端访问服务时,会直接跳过firewalld规则,可以直接telnet容器端口 问题2: 容器访问宿主机端口需要单个开启端口规则,这里可以直接设置对宿主机容器开启权限 直接执行以下命令即可 EN_INTERFICE=`ifconfig |grep -E '^en'|awk -F":" '{print $1}'` cat>/etc/docker/daemon.json <<-EOF { "iptables": false } EOF cat>>/etc/s
firewalld防火墙开启后无法启动docker问题
可乐要加冰!!!
12-21 640
firewalld防火墙开启后无法启动docker问题
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
dockerfirewalld冲突解决
liyanggyang的博客
04-26 2165
dockerfirewalld冲突解决
DockerFirewalld冲突怎么办?教你几招搞定docker网络
Task深水炸弹
06-09 8414
为啥要研究这个问题docker-ce 默认会采用桥接网络,它会通过iptables来管理它的容器之间的通信和容器与宿主机的通信,如果同时启用了firewalld服务,他们都会对iptables里面的转发链写入规则,而让人头疼的是,firewalld每次启动或者重启都会强制覆盖docker的转发链,同时,docker也会通过更高优先级的策略使firewalld里面配置的条目失效。
《Linux运维总结:基于Centos系统使用firewallddocker容器配置防火墙策略》
东城绝神
11-09 7314
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
五、Docker用iptables绕过firewalld问题
dears-app的博客
01-01 1277
Docker用iptables绕过firewalld问题
探索 Docker 网络策略与 Firewalld 服务的协同工作_docker firewalld 共存
最新发布
m0_55030688的博客
04-12 284
Docker 容器的网络策略为容器提供了与外界通信的能力。Docker 默认支持几种网络模式,包括 bridge、host、none 和 overlay。每种模式都有其特定的用途和配置方法,影响着容器的网络隔离和通信能力。Firewalld 是一种动态管理Linux防火墙的工具,提供了防火墙规则的即时更新而无需重启服务。它允许对入站和出站流量进行更精细的控制,对于确保系统安全至关重要。最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Docker 常见问题解决
09-29
主要介绍了如何解决Docker 常见问题,帮助大家更好的理解和使用docker容器,感兴趣的朋友可以了解下
解决docker日志挂载的问题
01-08
关键是本地服务器没有写入的权限 关键看这里吧(Permission denied), 一直没有看正方,以为是配置日志文件 找不到有问题,下面是部分异常 10:35:09,498 |-ERROR in ch.qos.logback.core.rolling.RollingFileAppender[FILE] - openFile(null,true) call failed. java.io.FileNotFoundException: logs/bandwidth.log.2019-04-25.log (Permission denied) at java.io.FileNotFou
解决 docker mysql 中文乱码问题
01-20
docker mysql 字符集设置 使用 docker 启动 mysql 容器可能会出现中文乱码的情况,这里记录如何制作支持中文的 mysql 镜像 docker版本:18.06 mysql 版本:5.7 1. 创建 my.cnf 文件 [client] default-character-set=utf8 [mysql] default-character-set=utf8 [mysqld] collation-server=utf8_general_ci character-set-server=utf8 init-connect='SET NAMES utf8' 2. 编写 Dock
Docker-LXC_原理与绕过1
08-04
Docker-LXC_原理与绕过1
Linux重载配置文件
海纳百川
03-13 1万+
在 linux 里,当我们修改了配置文件,不想让linux重启时就可以通过重载配置文件使配置文件生效。 例如,刚修改 /etc/profile文件,我想让刚刚作出的修改立刻看到效果,但又不愿意重启,这时,就可以通过重载配置文件来使配置文件立即生效: # 方式一: source /etc/profile # 方式二: . /etc/profile" Ps:source命令也称为“点命令”,也就是一...
服务热重载实现思路
海纳百川
03-22 3605
服务热重载实现思路 热重启(平滑重启、热修复)是指在不中断已有请求的状态下对服务进行重启。例如 nginx 在不断开连接的情况下重新加载新配置,微服务在不断业务的情况下完成热升级,这些都是热重启的一些应用。 在 Linux 服务器上实现热重启主要有以下两种方式:覆盖模式和管理者模式。 覆盖模式 该模式下,父进程会 fork 出子进程,将自身占有的文件资源交给子进程,子进程创建完成后通知父进程退出并开始接收新的连接,父进程收到通知后就不再接收新的连接,将当前连接处理完成后父进程就会退出,子进程此时就代替了
Linux常用特殊字符
海纳百川
03-12 3463
文章目录一、 ~二、.三、.四、/五、#六、?七、*八、[]九、;十、<十一、>十二、!十三、&十四、|【连接命令】十五、$十六、引用特殊字符 在 Linux 中有一些特殊字符,它们在命令中有着特殊的用法。掌握了这些字符能让你在 Linux 学习中更加如鱼得水。 一、 ~ 波浪号 ~ 指的是主目录,即是用户的个人目录,无论你身在何方,只要输入 cd ~ 就能立即回到主目录 [G...
更换 yum 源为阿里源
海纳百川
09-01 2468
更换 yum 源为阿里源 目标:更换 yum 源为阿里源 系统:Centos 7.9 步骤 1. 备份旧的配置文件 cd /etc/yum.repos.d/ # 进入文件夹 mv CentOS-Base.repo CentOS-Base.repo_back # 备份原始配置文件 2. 下载阿里源的文件 wget -O CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo # 若没有 wget 可使用 curl curl
docker 不接管firewalld
07-14
你好!关于你的问题Docker 默认情况下不接管 firewalldDocker 使用的是 iptables,而不是 firewalld 来管理容器网络的防火墙规则。 当 Docker 守护进程启动时,它会创建一条名为 DOCKER-USER 的用户链,用于在 iptables 规则中插入自定义规则。这样可以确保 Docker 守护进程在 iptables 规则中的任何更改都不会与 firewalld 发生冲突。 如果你想在 Docker 容器中使用 firewalld,你可以在容器内部安装并配置 firewalld。但请注意,在容器内使用 firewalld 可能需要特定的配置和权限,并且可能会与 Docker 的网络功能产生冲突。 希望这能回答你的问题!如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值