使用iptables规则,禁止外部服务器访问本地服务器中容器部署的redis

最新推荐文章于 2024-04-28 18:16:24 发布
最新推荐文章于 2024-04-28 18:16:24 发布
阅读量411 收藏
点赞数
文章标签: 服务器 redis 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43334786/article/details/130328458
版权
文章描述了如何通过iptables的mangle表设置规则,阻止外部对运行在Docker中的Redis服务的6379端口的访问,以确保数据安全。通过添加IPPREROUTING规则,对来自ens33网卡的TCP流量在目标端口为6379的数据包进行DROP操作,从而仅允许服务器内部访问。
摘要由CSDN通过智能技术生成

背景:
我的服务器上使用docker部署了redis,但是redis暴露了6379端口,同时redis未设置密码,有数据泄露风险。为此,我需要在服务器上添加iptables规则,禁止其他用户访问我的redis,只允许我服务器上的程序或容器访问redis的6379端口。

[root@localhost ~]# docker ps
CONTAINER ID   IMAGE         COMMAND                   CREATED          STATUS          PORTS                                       NAMES
c47698614b64   redis:7.0.4   "docker-entrypoint.s…"   12 minutes ago   Up 12 minutes   0.0.0.0:6379->6379/tcp, :::6379->6379/tcp   redis
4103d0cf15c8   nginx         "/docker-entrypoint.…"   13 minutes ago   Up 13 minutes   0.0.0.0:8080->80/tcp, :::8080->80/tcp       nginx
[root@localhost ~]#

查看本地服务器网卡:

[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:c5:07:03 brd ff:ff:ff:ff:ff:ff
    inet 11.0.1.11/24 brd 11.0.1.255 scope global noprefixroute dynamic ens33
       valid_lft 5284214sec preferred_lft 5284214sec
    inet6 fe80::55ea:6184:f0d5:bfc/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:3c:b4:fa:4c brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:3cff:feb4:fa4c/64 scope link 
       valid_lft forever preferred_lft forever
7: veth9c397c3@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 4a:ea:ac:0f:9d:9e brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::48ea:acff:fe0f:9d9e/64 scope link 
       valid_lft forever preferred_lft forever
11: vethbcee86e@if10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 82:44:a0:94:22:2b brd ff:ff:ff:ff:ff:ff link-netnsid 1
    inet6 fe80::8044:a0ff:fe94:222b/64 scope link 
       valid_lft forever preferred_lft forever

上面可以看出,我的11.0.1.11所在的网卡为ens33。
从上面的背景部分,我们可以看出当前的需求:只允许服务器内部访问,不允许外部访问,也就是凡是通过11.0.1.11这块网卡过来的请求全都拒绝掉。
需求搞明白了,下面开始分析如何操作。

首先要搞明白的是iptables底层的“四表五链”,默认的是filter表,我们的docker的规则是不可以放在这里的,使用iptables -t raw -L 、iptables -t nat -L和iptables -t mangle -L可以看到nat表和mangle表都有很多规则,而raw表是空的;需要注意的是nat表不能配置DROP规则,全是ACCEPT规则。所以我们的docker的访问规则就放在mangle表里。

综上所述,我们要使用的表是mangle,要禁止访问的端口是6379,要禁止的网卡是ens33,那么操作命令如下:

iptables -t mangle -I PREROUTING -p tcp --dport 6379 -i ens33 -j DROP
service iptables save

然后可以测试一下:
使用客户机telnet 11.0.1.11 6379是不通的,在nginx容器内测试redis容器的6379端口是通的。

Dustin.Hoffman
关注
Docker(八):Docker Compose(容器编排) 管理多容器应用—实战案例演示
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-13 5万+
🟢 Docker(八):Docker Compose(容器编排) 管理多容器应用—实战案例演示
iptables禁止外网访问redis server服务默认端口6379的命令
dgqvhtlwq472235338的博客
10-30 214
//只允许127.0.0.1访问6379 iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT //其他ip访问全部拒绝 iptables -A INPUT -p TCP --dport 6379 -j REJECT 远程测试下 没拒绝前 拒绝后 转载于:https://www.cnb...
【ECS】【Redis】ECS上面,安装了redis,配置了网关,设置了iptables,仍然不能访问
天岸绝峰
06-24 251
问题: 今天重新申请了一台低配ecs,专门用于redis使用。安装好,iptables设置好,网关配好,连接...失败!重连!失败!什么鬼! 分析: 首先,iptables肯定已经配置对,网关,也已经反复确认,配置对,那么 ,问题在哪里? ps -aux | grep redis 查看进程信息如下: 启动后,服务是挂载于:127.0.0.1:6379,那么,问题来了:是不是因为只是挂载于本地IP的问题? 解决: /etc/redis.conf,找到文件,vi,注释掉: #bind
iptables网络限制redis连接
46633791的博客
10-24 789
iptables网络限制 应用场景redis做IP限制 一、216段ip 只允许本机访问本机216redis 二、223/213段ip,都放问223服务器redis 具体配置方式: 一: 216上执行 //允许173.32.11.216 ip 访问6379端口 iptables -A INPUT -s 173.32.11.216 -p tcp --dport 6379 -j ACCEPT //其他ip访问全部拒绝 iptables -A INPUT -p TCP --dport 6379 -j REJEC
转载iptables禁止外网访问redis server服务默认端口6379的命令
yushaolong1234的博客
09-04 2068
http://www.zuidaima.com/share/2643146230549504.htm iptables禁止外网访问redis server服务默认端口6379的命令 今天午吃饭时阿里云短信提醒http状态吗500,有图有真相 于是赶紧通过手机ssh上去看了下redis服务正常,info了下也正常 但是keys查询key时抛出: redis noauth auth...
redis端口安全加固,禁止除备机访问的其他机器之间访问
xiao90713的博客
09-01 546
redis端口限制:主机IP为10.60.15.55,备机IP:10.60.15.56 在主机和备机执行(10.60.15.55/56): iptables -I INPUT -p tcp –dport 6379 -j DROP #拒绝所有tcp端口连接6379 iptables -I INPUT -s 备机(对端ip) -p tcp –dport 6379 -j ACCEPT ...
docker redis安装及配置(外网访问 关闭安全限制 设置密码)
weixin_30419799的博客
05-31 466
docker run -p 6379:6379 --name redis -v /user/local/redis/etc/redis.conf:/etc/redis/redis.conf -v /user/local/redis/data:/data -d redis redis-server /etc/redis/redis.conf --appendonly yes Linux re...
国产化改造之容器迁移指导
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-28 1245
另外再回顾下底层这些东西,如上图所示,docker镜像层位于内核层之上,其内核层的AUFS,LXC,Bootfs(boot file system)一起为上层的镜像提供kernel内核支持;即信息技术应用创新的简称,涵盖了国产软件、国产芯片以及云计算等各个方向,也可以理解为常说的“ZZKK(自主可控)”, ZZKK是指对国内企事业单位应用系统关键软硬件部件的安全性、可靠性、性能稳定性、安全接入等方面进行评估和测试的过程。基于此,docker镜像层+容器层,我们是可以提交成新镜像导出的;
Redis 6(二)在Linux上的安装 及 单机部署 和 集群部署 和 常用命令
zuo___的博客
07-20 1394
文章目录Redis 6 集群搭建1. 下载安装包2. 将redis安装包上传到Linux服务器上3. 解压 redis安装包4. 安装 gcc 环境5. 编译和安装RedisRedis单机部署1. 修改配置文件 redis.conf2. 启动 Redis 服务3. 查看 Redis 服务1. 查看redis是否启动2. 查看redis服务进程情况3. 查看6379(为redis的端口号)端口号是否被占用4. 显示tcp的端口和进程等相关情况Redis集群部署 Redis 6 集群搭建 Redis官方集群教
关于新版CenterOS7配置redis出现iptables错误的解决方法
01-18
关于新版CenterOS7配置redis出现redisiptables错误的解决方法, 排除/etc/rc.d/init.d/iptables: No such file or directory 错误原因 , CentoOS7下配置redis并将端口通过防火墙解决方法;
【云原生】初识 Service Mesh
congge
11-22 7145
Service Mesh 常用解决方案
通过iptables限制docker 容器的运行端口
qq_30381077的博客
04-28 1241
DOCKER-USER链是上述FORWARD链第一个规则匹配的到的链。外部访问的数据包,其物理输入网口(如ens192),它是对外通信的网口。我们可以在此,插入只允许某个网络访问,或某个网络不能访问规则。主机nacos容器的默认访问端口为8848,首先要禁止所有IP访问docker的8848端口。配置允许访问的IP,删除DOCKER-USER的链的默认规则(默认规则允许任意ip访问)#显示DOCKER-USER的链规则信息。#删除DOCKER-USER的链的默认规则。#删除RETURN的规则
docker 部署redis外部访问该注意的地方你都知道吗
weixin_46186045的博客
05-29 3783
【程序员卑微茶木在线学习】 今天因为端口放行问题,docker 部署redis外部一直访问不到,我放行了linux宝塔的6379端口,却没有放行云服务器上的端口 折腾了一下午,终于意识到了这个问题 时间虽然花的多,但是成果也是显然的,至少下次再也不会因为docker部署redis而消磨时间。 接下来就开始总结一下真正的全套安装部署了 docker 外部访问部署redis安装之前环境部署安装部署1,搜索redis镜像2,下载最新镜像3,从官网下载redis配置文件4,创建一个文件夹用于保存此文件5,更改
redis的docker化安装
weixin_34268310的博客
12-25 252
只需要关注几点: 端口映射 配置文件映射 持久化映射 要做的就是拉取官方镜像并把关注的几个点处理一下就好了: docker pull redis docker run -d -p 6379:6379 -v /data/redis/redis.conf:/etc/redis/redis.conf -v /data/redis/data:/data/ --name redis ...
iptables安装使用 (为Redis开放特定IP)
灵动的艺术的博客
11-06 2685
iptables安装使用 (为Redis开放特定IP)停用firewalliptables安装iptables配置启动iptables 停用firewall 由于centos7默认是使用firewall作为防火墙,先关闭firewall。 #停止firewall systemctl stop firewalld.service #禁止firewall开机启动 systemctl disabl...
使用redis来调用iptables,封禁恶意IP
w18478272407的博客
01-06 833
话不多说,通常大多数站点都会有被薅羊毛的情况,防护无非也就是业务层做处理,短时内不再响应恶意请求啦.虽然不响应了,可还是会消耗资源的,比如我要从数据库(当然也可能是内存数据库)去查询下,你是不是恶意的IP. 那么能否网络层或应用层去处理呢?在前几篇文章有写过应用层方案,今天就写下网络层方法. 说起iptables 除非是专业人员,像普通开发者是不会使用的,一堆表一堆链的一看就头疼.所以**Red...
Redis未授权访问高危漏洞预警
systemino的博客
07-12 1480
近日,深信服安全团队发现开源数据库Redis爆出了一个未授权访问漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该漏洞,攻击者可以实现反弹shell进行任意代码执行。 Redis软件介绍 Redis是一款开源的(拥有BSD证书)、使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,提供多种语言的API。 Redis支持多种数据结构,如字符串,散列,...
docker容器限定ip访问
AMCUL的博客
08-13 3085
当Firewalld激活时,它会自动配置iptables规则,并将iptables的管理权限交给自己。这样会导致,在系统Firewalld限定ip访问后,容器的网络仍旧是任意ip均可访问。而Firewalld是CentOS/RHEL 7默认的防火墙管理工具,它也使用iptables来实现规则。注: 通过iptables 命令设置的规则,默认是临时性的。若需要规则永久生效,则要将命令写入iptables配置文件之。禁用 docker 的 iptables 规则使用系统的Firewalld。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dustin.Hoffman

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值