学习iptables 学习查看docker网络配置

最新推荐文章于 2024-06-04 22:40:45 发布
最新推荐文章于 2024-06-04 22:40:45 发布
阅读量35 收藏
点赞数
分类专栏: 容器 文章标签: 网络 docker linux
原文链接:https://zhuanlan.zhihu.com/p/634404879
版权

目录

四表五链

filter表

nat表

mangle表

raw表

数据包处理流程

表调用顺序

内置链调用顺序

规则调用顺序

iptables 常用命令

管理选项

控制选项

iptables 查看docker 网络

iptables是运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的处理和转发。iptables操作需要超级用户权限,其可执行文件通常位于 /sbin/iptables 或 /usr/sbin/iptables 。同时需要说明的是,iptables 通常只用于处理 IPv4 数据包;而对于 IPv6 数据包,则使用类似的 ip6tables 命令

学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置。

四表五链

iptables 使用Xtables框架。存在“表(tables)”、“链(chain)”和“规则(rules)”三个层面。

每个“表”指的是不同类型的数据包处理流程,如filter表表示进行数据包过滤,而nat表针对连接进行地址转换操作。每个表中又可以存在多个“链”,系统按照预订的规则将数据包通过某个内建链,例如将从本机发出的数据通过OUTPUT链。在“链”中可以存在若干“规则”,这些规则会被逐一进行匹配,如果匹配,可以执行相应的动作,如修改数据包,或者跳转。跳转可以直接接受该数据包或拒绝该数据包,也可以跳转到其他链继续进行匹配,或者从当前链返回调用者链。当链中所有规则都执行完仍然没有跳转时,将根据该链的默认策略(“policy”)执行对应动作;如果也没有默认动作,则是返回调用者链。

四表五链

filter表

filter表是默认的表,如果不指明表则使用此表。其通常用于过滤数据包。其中的内建链包括:

  • INPUT,输入链。发往本机的数据包通过此链。
  • FORWARD,转发链。本机转发的数据包通过此链。
  • OUTPUT,输出链。从本机发出的数据包通过此链。

nat表

nat表如其名,用于地址转换操作。其中的内建链包括:

  • PREROUTING,路由前链,在处理路由规则前通过此链,通常用于目的地址转换(DNAT)。
  • INPUT,输入链,更改发往本地套接字的数据包。
  • OUTPUT,输出链,类似PREROUTING,但是处理本机发出的数据包。
  • POSTROUTING,路由后链,完成路由规则后通过此链,通常用于源地址转换(SNAT)。

mangle表

mangle表用于处理数据包。其和nat表的主要区别在于,nat表侧重连接而mangle表侧重每一个数据包。其中内建链列表如下。

  • PREROUTING
  • INPUT
  • FORWARD
  • OUTPUT
  • POSTROUTING

raw表

raw表用于处理异常,有如下两个内建链:

  • PREROUTING
  • OUTPUT

数据包处理流程

数据包到达iptables后,处理流程是什么样子的? 借用维基百科中数据包的一张整体处理流程图,这里我们只关心网络层。

数据包处理流程

表调用顺序

raw => mangle => nat => filter

内置链调用顺序

  • 数据包流入时,
    内建链调用顺序:PREROUTING => 路由选择 => INPUT => 应用程序
  • 数据包转发时
    内建链调用顺序:PREROUTING => 路由选择 => FORWARD => POSTROUTING
  • 数据包流出时
    内建链调用顺序:应用程序 => OUTPUT => 路由选择 => POSTROUTING

规则调用顺序

按规则在调用链中的顺序依次调用,若找到一条匹配规则,将不再检查链中的其他规则;若没有匹配的规则,按照此链的默认规则处理

数据包处理简化流程

iptables 常用命令

常用命令格式:iptables -t [表名] [管理选项] [链名] [匹配条件] -j [控制选项]。若没有通过-t 指定表名,默认使用filter 表。

管理选项

管理选项含义示例用法
-A在指令链末尾追加一条 规则iptables -A INPUT -j ACCEPT
-I在指定链中插入一条新规则,未指定序号默认作为第一条iptables -I INPUT -j ACCEPT
-R修改或替换某一条规则iptables -R INPUT 1 -j ACCEPT
-D删除某一条规则iptables -D INPUT 1
-L列出链中的规则iptables -L
-F删除链中的所有规则iptables -t raw -F OUTPUT
-P指定链的默认策略iptables -P INPUT ACCEPT
-N新建用户自定义链iptables -N DOCKER
-n以数字形式展示iptables -t nat -nL
-n --line-number展示规则时带编号iptables -nL --line-number

控制选项

ACCEPT允许数据包通过
REJECT拒绝数据包通过,必要时会给数据包发送端一个响应信息
DROP丢弃数据包
LOG在/var/log/messages文件中记录日志信息,然后将数据包给下一条规则处理,自身不处理数据包

iptables 查看docker 网络

掌握一个工具的最佳方法是实践。在ubuntu18.04 系统上安装docker 19.03.7。使用iptables 查看docker网络配置,加深对iptables理解。下面通过iptables -S 查看各个表的链和规则时,对各个规则做了注释。

iptables -t raw -S 查看raw表的链和规则。

Ξ ~/work → sudo iptables -S -t raw      
# PREROUTING 链的默认策略为允许数据包通过
-P PREROUTING ACCEPT
# OUTPUT 链的默认策略为允许数据包通过
-P OUTPUT ACCEPT

iptables -t mangle -S 查看mangle表的链和规则。

Ξ ~/work → sudo iptables -t mangle -S
# PREROUTING 链的默认策略为允许数据包通过
-P PREROUTING ACCEPT
# INPUT 链的默认策略为允许数据包通过
-P INPUT ACCEPT
# FORWARD 链的默认策略为允许数据包通过
-P FORWARD ACCEPT
# OUTPUT 链的默认策略为允许数据包通过
-P OUTPUT ACCEPT
# POSTROUTING 链的默认策略为允许数据包通过
-P POSTROUTING ACCEPT

iptables -t nat -S 查看nat 表的链和规则。

Ξ ~/work → sudo iptables -t nat -S   
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
# 新建用户自定义链DOCKER
-N DOCKER
# PREROUTING链添加规则:目标地址类型属于本地网络类型的数据包交给DOCKER链处理
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
# OUTPUT链添加规则:目标地址不是回环地址且目标地址类型属于本地网络类型的数据包交给DOCKER链处理
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
# POSTROUTING链添加规则:来自172.17.0.0/16且目标地址不是docker0网段的数据包实现自动化的snat
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
# DOCKER链中添加规则:来自docker0网段的数据包停止这条链的匹配,到前一个链的下一条规则进行匹配
-A DOCKER -i docker0 -j RETURN

iptables -S 查看filter表的链和规则。

Ξ ~/work → sudo iptables -S       
-P INPUT ACCEPT
# FORWARD 链默认策略是丢弃包
-P FORWARD DROP
-P OUTPUT ACCEPT
# 新建用户自定义链DOCKER
-N DOCKER
# 新建用户自定义链DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-1
# 新建用户自定义链DOCKER-ISOLATION-STAGE-2
-N DOCKER-ISOLATION-STAGE-2
# 新建用户自定义链DOCKER-USER
-N DOCKER-USER
# FORWARD链添加规则:数据包交给DOCKER-USER链处理
-A FORWARD -j DOCKER-USER
# FORWARD链添加规则:数据包交给DOCKER-ISOLATION-STAGE-1处理
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
# FORWARD链添加规则:接受目标地址是docker0网段且连接状态是RELATED或ESTABLISHED的数据包
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# FORWARD链添加规则:目标地址是docker0网段的数据包交给DOCKER链处理
  -A FORWARD -o docker0 -j DOCKER
# FORWARD链添加规则:接受来自docker0网段且目标地址不是docker0网段的数据包
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
# FORWARD链添加规则:接受来自docker0网段且目标地址是docker0网段的数据包
-A FORWARD -i docker0 -o docker0 -j ACCEPT
# DOCKER-ISOLATION-STAGE-1链添加规则:来自docker0网段且目标地址不是docker0网段的数据包发送给DOCKER-ISOLATION-STAGE-2链处理
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
# DOCKER-ISOLATION-STAGE-1链添加规则:数据包停止这条链的匹配,到前一个链的下一条规则进行匹配
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
# DOCKER-ISOLATION-STAGE-2链添加规则:丢弃发送到docker0网段的数据包
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
# DOCKER-ISOLATION-STAGE-2链添加规则:数据包停止这条链的匹配,到前一个链的下一条规则进行匹配
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
# DOCKER链添加规则:数据包停止这条链的匹配,到前一个链的下一条规则进行匹配
-A DOCKER-USER -j RETURN

结合数据包整体处理流程,可以得到安装docker后数据包处理流程如下,这里也是只考虑网络层。

docker 网络层数据包处理流程

处理流程相比之前复杂很多,但是查看这个图更有助于我们理解iptables

勤不了一点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dockeriptables及实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个Docker在FORWARD中(forward到自定义的),还额外提供了自己的,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
docker容器的网络机制
02-23
系统就是通过docker0给docker提供网络连接的添加虚拟网桥FROMubuntu:14.04RUNapt-getinstall-ypingRUNapt-getupdateRUNapt-getinstall-ynginxRUNapt-getinstall-ycurlEXPOSE80CMD/bin/bash启动第一个容器在docker的...
Docker入门级学习(八):Docker网络
weixin_47712609的博客
02-16 593
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
Dockeriptables基本原理
热门推荐
morris
11-09 3万+
通过iptables,可以对本机提供的网络服务 (FTP、WEB、EMAIL、DB…) 进行保护,通过规则进行过滤。iptables并不是真正的防火墙,可以理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,这个安全框架才是真正的防火墙,这个框架的名字叫netfilter。netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间。netfilter/iptables组成Linux平台下的包过滤防火墙。
iptables 规则配置docker 场景配置
何xiao树
01-08 791
iptable配置docker场景配置
dockerDocker网络iptables
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置iptablesDocker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
iptables限制Docker IP和端口访问
SpringLei
07-25 9289
等保整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则DOCKER-USER,所以需使用iptablesDOCKER-USER做限制。...............
docker iptables详解
极客神殿
06-17 1937
该环境安装了docker ,并启动了一个容器做了端口映射docker数据如何经过iptables接着来梳理,数据经过iptables是如何处理的。首先需要了解iptablesiptables有4表()5查看各个表命令Filter表:过滤数据包NAT表:用于网络地址转换(IP、端口)Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表:决定数据包是否被状态跟踪机制处理INPUT。
docker iptables 问题
qq_53361826的博客
09-28 935
docker出现driver failed programming external connectivity on endpoint
Linux iptables是什么?iptablesdocker的关系?
MyySophia的博客
04-16 4025
iptablesLinux系统中用来配置防火墙的命令。 四表: filter(用于过滤) nat(用于 NAT) mangle(用于修改分组数据) raw(用于原始数据包) 最常用的是filter 和 nat。对应下图中的绿色块。 五: PREROUTING:用于路由判断前所执行的规则,比如,对接收到的数据包进行 DNAT。 POSTROUTING:用于路由判断后所执行的规则,比如,对发送或转发的数据包进行 SNAT 或 MASQUERADE。 OUTPUT: 类似于 PREROU..
linux 网卡间通信 iptables,Docker 网络构造:Docker如何使用Linux iptables和Interfaces
weixin_35639230的博客
05-07 239
我使用Docker至今已有一段时间了,与绝大部分的人一样,我被Docker强大的功能和易用性深深的折服。简单方便是Docker的核心之一,它强大的功能被抽象成了非常简单的命令。当我在使用和学习Docker的时候,我很想知道docker在后台都做了一些什么事情,特别是在网络这一块(我最感兴趣的一块)。我找到了很多关于创建和操作容器网络的文档,但是关于Docker如何使网络工作的却没有那么多。 Doc...
docker_iptables:帮助手动管理 Docker 容器的 iptables 端口映射的实用程序
06-11
该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 ...
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
docker网络配置
m0_62111965的博客
05-21 3050
除了none、host、bridge网络外,docker支持用户自定义user-defined网络dockers提供了三种user-defined的网络驱动:bridge、overlay、macvian。现在,为了方便管理容器,我们需要自定义一个网络。首先,我们需要新增一个网桥,其作用与docker0作用类似默认驱动使用bridge此错误说明在docker开启时,防火墙状态发生了改变。要么把防火墙状态还原,要么重启docker。通过brctl show其中的是my_net网桥的。
iptables详解及dockeriptables规则
五侠的博客
10-31 2万+
iptables详解及dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
iptables和容器Docker命令详细解析--看完秒懂
qq_43636320的博客
09-09 4585
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。(chains)是数据包传播的路径,每一条其实就是众多规则中的一个检查清单,每一条中可以有一 条或数条规则。当一个数据包到达一个时,iptables就会从中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;
聊聊 Docker 容器网络IPtables 间的亲密关系
easylife206的专栏
01-09 2761
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !有小伙伴在群里问到 Dockeriptables 的关系,这里来具体聊聊。Docker 能为我们提供很强大和灵活的网络能力,很大程度上要归功于与 iptables 的结合。在使用时,你可能没有太关注到 iptables 的作用,这是因为 Docker 已经帮我们自动完成了相关的配置。(MoeLove)➜~...
Docker(六):Docker 网络
qq_34020761的博客
12-06 1442
docker网络对于后期Docker comose以及k8s的理解十分重要
TCP 建(三次握手)和断(四次握手)
最新发布
又言又语
06-04 1184
本文介绍 TCP 的建和断过程,即通常所说的三次握手和四次挥手的过程。
docker 防火墙配置iptables
06-07
要在 Docker 防火墙上配置 iptables,可以使用以下命令: 1. 首先,安装 iptables: ``` sudo apt-get install iptables ``` 2. 然后,允许 Docker 服务的网络流量: ``` sudo iptables -I INPUT -p tcp --dport 2375 -j ACCEPT ``` 3. 接下来,允许 Docker 容器的网络流量: ``` sudo iptables -I FORWARD -i docker0 -j ACCEPT ``` 4. 最后,将 iptables 配置保存: ``` sudo iptables-save > /etc/iptables/rules.v4 ``` 这些命令将允许 Docker 服务和容器的网络流量,并将 iptables 配置保存到 /etc/iptables/rules.v4 文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值