docker修改服务器防火墙,docker宿主机iptables配置

最新推荐文章于 2024-07-05 16:38:51 发布
最新推荐文章于 2024-07-05 16:38:51 发布
阅读量1.8k 收藏 1
点赞数
文章标签: docker修改服务器防火墙

背景

以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker来配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。

待解决

服务器配置好后,在几天的试用过程中,发现如下两个问题:

NGINX PHP容器中无法获取request的真实IP

PHP容器中无法访问公网

过程

无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关闭iptables,问题解决。可是iptables不能关呀,虽说现在云服务器都有安全组过滤,但防火墙是最后一道防线,不能在云厂商的怀抱里裸奔啊……

查看了docker的网络部分,docker暴露容器端口是由docker-proxy来实现的,至于docker-proxy是什么略过不表。肯定是iptables影响了docker-proxy导致数据包的源ip发生了改变,无法获取真实IP;无法访问公网,则是数据包找不到出口,被iptables拦截掉了,在内网转圈圈

既然docker的各容器处于内网中,于是我想到了iptables的转发功能。

解决

假设我的公网IP为 117.25.140.71

NGINX容器内网IP为 172.18.0.2

PHP容器内网IP为 172.18.0.3 172.19.0.3

把公网来的数据包直接转发给NGINX容器,跳过docker-proxy

添加如下规则

-A PREROUTING -d 117.25.140.71 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.0.2:80

-A PREROUTING -d 117.25.140.71 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.18.0.2:443

复制代码

重启iptables 无法获取真实IP问题解决

将内网的数据包转发到公网

我的PHP容器访问公网,需求大抵是发送短信之类(无邮件发送),用的都是http协议,所以这里我没有选择全部转发,而是只转发目的端口为80和443的数据包

添加如下规则

-A POSTROUTING -s 172.19.0.3 -p tcp -m tcp --dport 80 -j SNAT --to 117.25.140.71

-A POSTROUTING -s 172.19.0.3 -p tcp -m tcp --dport 443 -j SNAT --to 117.25.140.71

复制代码

重启iptables发现仍然无法访问公网,是不是落下了什么。。

对了,既然http协议访问其他域名提供的api服务,怎么能少了DNS解析呢?添加DNS的支持(注意:DNS解析使用的是udp协议)

补充如下规则

-A POSTROUTING -s 172.19.0.3 -p udp -m udp --dport 53 -j SNAT --to 117.25.140.71

复制代码

重启iptables,大功告成!

最后总结几点:

之所以能用宿主机iptables实现转发,是因为宿主机是内网的网关

我限制了PHP容器访问公网的目的端口,如果需要发送邮件或者访问8080等其他端口,仍需单独添加规则或者不限制具体端口号

转发内网数据包到公网,不要使用地址伪装(MASQUERADE),否则会影响本文中添加的PREROUTING规则,仍然无法获取request的真实IP(使用其他方法除外)

如果直接service iptables stop,这篇文章就不用看了。。。

##2020.3.31更新

docker19.03版本解决了这个问题,不再需要自己手动配置啦

浅野千奈美
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker 详解设置容器防火墙
01-11
docker 容器防火墙设置 启动容器时增加参数 方法一:完全开放 --privileged=true 但是这样的话就将系统的所有能力都开放给了Docker容器 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables...
docker添加防火墙策略
weixin_44207346的博客
05-15 598
以上命令为禁止除了192.168.1.0/24网段的主机访问该主机的6000端口。6000端口为docker容器暴露的端口。
dockeriptables实现NAT
morris
11-18 3万+
iptables是一个Linux内核中的防火墙工具,可以被用来执行各种网络相关的任务,如过滤、NAT和端口转发等,可以监控、过滤和重定向网络流量。
学习iptables 学习查看docker网络配置
勤不了一点
05-14 202
学习iptables 后可以轻松理解主机上的网络配置,本文会利用iptables知识解析docker网络配置
《Linux运维总结:基于Centos系统使用iptablesdocker容器配置防火墙策略》
东城绝神
11-09 6811
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
linux 基础命令docker防火墙iptables详解
hakksjss的博客
04-16 2012
{ "registry-mirrors": [ "https://6gyvb665.mirror.aliyuncs.com" ] } 配置阿里云源。docker (客户端) run(子命令) (镜像名称) 镜像地址: https://registry.hub.docker.com/:拒绝,给回应,服务端收到数据包,给客户端发送一个数据,告诉他不收了。删除失败大概率由于容器占用镜像资源,此时删除占用的容器即可。本质上容器为操作系统上的一个进程,但加入了对资源的限制。镜像创建时间,指仓库中创建的时间。
docker宿主机iptables配置
weixin_34293059的博客
01-25 7085
背景 以前服务器都是直接配置LNMP环境,最近手头正好有一台需要重新配置,想尝试使用docker配置多PHP版本环境。docker配置十分顺利,感谢有明大佬的小册,和DNMP项目。 待解决 服务器配置好后,在几天的试用过程中,发现如下两个问题: NGINX PHP容器中无法获取request的真实IP PHP容器中无法访问公网 过程 无法访问公网,无法获取真实IP,首先想到了防火墙的问题;关...
详解如何解决docker容器无法通过IP访问宿主机问题
01-10
在使用 docker 的过程中我不幸需要在 docker 容器中访问宿主机的 80 端口, 而这个 80 端口是另外一个容器 8080 端口映射出去的. 当我在容器里通过 docker 的网桥 172.17.0.1 访问宿主机时, 居然发现: curl: (7) ...
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/...
Docker高级教程之智能添加与修改防火墙规则
01-10
资料简介:如果你有以下痛苦: ...2、在容器运行中,获取容器的ip,然后在宿主机iptables力通过nat链做dnat设置 我之前一直使用第2个方法,但随着我docker项目的增加(目前我这里研发使用docker的容器做测试机),防
一次centos Docker网桥模式无法访问宿主机Redis服务的故障排除经历
09-09
总之,当在Docker的网桥模式下遇到无法访问宿主机服务的问题时,应检查网络配置iptables规则,并可能需要创建自定义的Docker网络。同时,与运维团队紧密合作,确保任何更改都不会牺牲系统的安全性。通过这样的故障...
iptables 规则配置docker 场景配置
何xiao树
01-08 931
iptable配置docker场景配置
Docker安全防护与配置
aming
02-17 2179
Docker Daemon 启动的服务对外提供的是 HTTP 接口,为了增强 HTTP 连接的安全性,我们通过设置 TLS 来认证客户端是可信的,只有通过证书验证的客户端才可以连接 Docker Daemon。(1)创建容器: 通过 LInux 系统自带的隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,对权限、CPU 资源等进行控制,最终实现容器之间互不影响。的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。这些 API 并不涉及用户账户和用户认证。
Dockeriptables基本原理
热门推荐
morris
11-09 3万+
通过iptables,可以对本机提供的网络服务 (FTP、WEB、EMAIL、DB…) 进行保护,通过规则进行过滤。iptables并不是真正的防火墙,可以理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,这个安全框架才是真正的防火墙,这个框架的名字叫netfilter。netfilter位于内核空间,而iptables其实是一个命令行工具,位于用户空间。netfilter/iptables组成Linux平台下的包过滤防火墙
【博客699】docker daemon预置iptables剖析
qq_43684922的博客
08-12 776
DOCKER-USER链中的过滤规则,将先于Docker默认创建的规则被加载,从而能够覆盖DockerDOCKER链和DOCKER-ISOLATION链中的默认过滤规则。如果只允许一个指定的IP访问容器实例,可以插入路由规则到DOCKER-USER链中,从而能够在DOCKER链之前被加载。Docker启动时,会加载DOCKER链和DOCKER-ISOLATION(现在是DOCKER-ISOLATION-STAGE-1)链中的过滤规则,并使之生效,绝对禁止修改这里的过滤规则。
五、Dockeriptables绕过firewalld的问题
dears-app的博客
01-01 1331
Dockeriptables绕过firewalld的问题
iptables详解及dockeriptables规则
五侠的博客
10-31 2万+
iptables详解及dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
部署过docker后,防火墙firewall与iptables的基本指令
最新发布
ljytower的博客
07-05 462
详情参考:https://blog.csdn.net/yeqinghanwu/article/details/125979997。如果服务器中部署了docker,优先选用iptables。一、iptables【无需stop docker服务】docker容器与iptables冲突问题。-重启防火墙(修改配置后要重启防火墙)-设置iptables开机自启。-设置开放针对某ip的某端口。-安装iptables。-启动iptables。-关闭docker服务。-开启docker服务。-开启docker服务。
docker 防火墙配置iptables
06-07
要在 Docker 防火墙配置 iptables,可以使用以下命令: 1. 首先,安装 iptables: ``` sudo apt-get install iptables ``` 2. 然后,允许 Docker 服务的网络流量: ``` sudo iptables -I INPUT -p tcp --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值