linux firewall 对docker暴露的端口无效 问题解决

于 2024-04-11 20:42:34 发布
阅读量931 收藏 27
点赞数 10
文章标签: linux docker 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44670774/article/details/137596968
版权

背景

最近在配置安全策略时,发现centos的经典防火墙firewall对docker暴露出去的端口不生效,明明没有将docker暴露的端口放到public域,docker暴露的端口仍然能被外部访问。更加严重的问题是,不在firewall配置的白名单中的ip也能访问。

原因

导致这个问题的原因是,docker和firewall都依赖底层的iptables进行流量的控制,而且DOCKER配置的规则在firewall配置的规则前面,导致firewall的白名单不生效。

解决方案

对于该问题,docker官方给出了详细说明,链接如下:
https://docs.docker.com/network/packet-filtering-firewalls

在这边篇官方说明中,提到了三种解决办法:

  1. 在iptables的DOCKER-USER链中增加自定义规则
  2. 禁止docker使用iptables
  3. 和firewall集成时,在firewall叫docker的zone中增加规则

经过实战,第二个和第三个不生效,只有第一个生效了,下面是具体情况。

在iptables的DOCKER-USER链中增加自定义规则

官方提到,在docker启动时,会自动在iptables中创建DOCKER链和DOCKER-USER链,其中DOCKER链的规则会被docker动态更新,我们不能在这里面增加规则;DOCKER-USER链可以增加自定义规则,docker保证所有的请求都会先过DOCKER-USER链的过滤,再由docker转发,因此,我们可以在DOCKER-USER链增加自定义规则。
可以在机器上执行 iptables -nvL来查看规则,类似下面:

[root@localhost ~]# iptables -nvL
...
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0
...

可以看到在iptables的FORWARD链的最前面,被DOCKER增加了DOCKER-USER链。

DOCKER-USER链默认内容如下:

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

在DOCKER-USER链增加的规则都要用iptables -I xxx的方式插入到这条默认规则的前面,否则流量就出去了。

特别注意: 由于DOCKER-USER链的位置特别靠前,所有流量均会经过,在增加DROP或者DENY规则时,一定要控制范围(端口范围和源IP范围),否则可能导致整个机器的网络无法访问!

实战

我们的需求是增加针对暴露出去的80端口,增加访问白名单,即白名单以外的IP不能访问。白名单为192.168.88.0/24
我们的规则增加如下:

iptables -I DOCKER-USER   -p tcp --dport 80 -j DROP
iptables -I DOCKER-USER  -s 192.168.88.0/24 -p tcp --dport 80 -j ACCEPT

使用 iptables -nvL查看规则:

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       192.168.88.0/24      0.0.0.0/0            tcp dpt:80
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

由于-I是插入到最前面,所以最前面把DROP规则加上,后面再把白名单IP加上,可以保证仅有白名单的ip访问得到。

重启问题

机器重启时,iptables的所有规则会丢失,经实战测试,上面编写的规则也会丢失。通常做法是使用iptables-save工具保证开机自动增加规则,但是,在刚开机且docker服务未启动时,DOCKER-USER链还未创建,直接向里面增加规则会报错,因此,需要等待DOCKER服务启动后再增加,下面是一个简单的脚本示例:

PATH=/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin
echo "startup docker iptables rules..."
# 开机时直接sleep,等docker服务启动。这里实现比较简单,最好使用for循环一直查询docker服务状态。
sleep 120
# docker ps 在服务器启动中会卡住,直到服务启动成功。
docker ps

# 增加规则
iptables -I DOCKER-USER   -p tcp --dport 80 -j DROP
iptables -I DOCKER-USER  -s 192.168.88.0/24 -p tcp --dport 80 -j ACCEPT

保存脚本后,使用crontab设置开机自动执行即可。

禁止docker使用iptables

网络上的其他博客有的选择配置启动参数,让docker不使用iptables,经实战,该方案无效;而且,禁用掉iptables会导致docker的容器间网络受到影响,对于这个配置,官方的说明如下:

It is possible to set the iptables key to false in the Docker engine’s configuration file at /etc/docker/daemon.json, but this option is not appropriate for most users. It is not possible to completely prevent Docker from creating iptables rules, and creating them after-the-fact is extremely involved and beyond the scope of these instructions. Setting iptables to false will more than likely break container networking for the Docker engine.

其实就是不建议配置,而且不能完全保证docker创建iptables规则,但是一定会导致容器间网络受损。

和firewall集成时,在firewall叫docker的zone中增加规则

在这边篇官方说明中,提到docker和firewall集成时,会在firewall创建一个叫docker的zone,但是实战在这里面添加规则也无法阻断docker暴露出去的端口,也是无效的。

有兴趣的可以自行尝试。我测试是没有效果的。

夏木瑾苏1
关注
  • 10
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解如何解决docker容器无法通过IP访问宿主机问题
09-30
主要介绍了详解如何解决docker容器无法通过IP访问宿主机问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CentOS 7下用firewall-cmd控制端口端口转发详解
01-10
一、firewalld 守护进程 firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。 当我们修改了某些配置之后(尤其是配置文件的修改),firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启firewalld服务,建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话
docker容器无法访问宿主机端口解决
01-08
最近在工作时遇到一个问题docker容器无法访问宿主机的redis,telent6379端口不通。 经排查发现,该服务器启用了防火墙,防火墙把6379的端口的访问授权给docker0网卡访问即可。 操作如下: firewall-cmd –permanent –zone=trusted –change-interface=docker0 firewall-cmd –reload 补充知识:docker 启动mysql 容器出错Ports are not available: listen tcp 0.0.0.0:3306 错误截图如下 该错误是由于本地3306端口被占用,很可能是本地已经
在CentOS 7 上为docker配置端口转发以兼容firewall解决方法
01-09
在CentOS 7上当我们以类似下列命令将主机端口与容器端口映射时可能遇到无法访问容器服务的问题 docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0 . 由于docker在执行此命令时,是向iptables注入了一条规则将主机803映射到容器80端口,但是CentOS 7中以firewalld服务替代了iptables。因此,上述命令的端口映射不会生效。 解决方法:首先观察一下主机上的网卡信息,确认增加了一个docker0的虚拟网卡: [root@localhost /home]# ifconfig dock
Centos7(Firewall)防火墙开启常见端口命令
01-10
安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent firewall-cmd –zone=public –add-port=21/tcp –permanent firewall-
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
MR.骑士道
11-03 616
Centos 7.9.2009 firewalld 防火墙无法拦截Docker映射端口
docker容器端口限制ip访问不生效问题解决
最新发布
weixin_39901938的博客
04-11 237
如果drop后其他非ip名单中机器还是可以通,则看下docker容器内端口是否与暴露端口一致,再用容器内端口drop即可。
解决docker容器映射的端口无法用firewalld防火墙管理的问题
dongsiwxy的专栏
12-19 568
如果添加rich-rule出现错误输入,可以把--add-rich-rule替换为--remove-rich-rule再执行一遍命令,就能删除这条错误的规则。3.3 添加rich-rules防火墙规则,仅允许192.168.0.184 访问9200端口。这样设置,即使重启操作系统,也仅有192.168.0.184能访问9200端口。3.2从防火墙中删除9200端口,如果没有,可忽略这一步。3.1 查看防火墙是否开启了9200端口。:上面的命令要在一行中输入,不能分行。重启服务器,让配置生效。
Docker暴露端口服务器公网IP无法访问问题排查
欢迎来到 Baret~H 的博客
01-29 2762
目录一、未打开安全组策略二、防火墙开放端口未设置三、没有启用IP_FORWARD 环境:阿里云CentOS7 服务器 问题:当启动一个容器向外部暴露端口时,服务器公网IP:端口号无法访问 docker run -d --name nginx01 -p 90:80 nginx 一、未打开安全组策略 暴露给外部的端口需要打开对应的安全组设置,比如这里nginx对外暴露90端口,就需要添加如下的安全组配置 二、防火墙开放端口未设置 首先查看防火墙是否开启,结果为not running表示未开启,则不是防
docker 端口映射不成功。解决方法
weixin_34194359的博客
07-28 2282
2019独角兽企业重金招聘Python工程师标准>>> ...
docker iptable firewall 关系使用等情况分析
码农崛起
07-11 5179
1、docker 默认用的是iptable(用户态)客户端工具管理的docker的filter,nat等。服务端是netfilter在内核态。iptable详细说明和使用方式见https://blog.csdn.net/Michaelwubo/article/details/809837182、iptable和firewall都是客户端防火墙管理和过滤工具(netfilter【过滤】和tcpwap...
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 7352
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
linux 防火墙不起作用,Linux系统安装docker后,firewall规则无效不起作用
weixin_28829903的博客
05-12 3524
## 失效原因默认情况下, docker启动后参数中如果加了端口映射, 就会自动将端口开放给所有网络设备访问,并且这种情况下即使在本机的系统防火墙中加规则也无效, 因为docker会自动添加一个优先级最高的针对这个映射端口全开放规则,这样就需要在docker启动时添加参数来禁止docker对本机防火墙的操作.## 服务器环境| 对象 | 版本 || --- | --- || Cent...
linux防火墙UFW无法对Docker容器生效
weixin_42220704的博客
12-13 239
想通过ufw防火墙暂时关闭某个docker应用的端口,发现无法关闭,经过排查发现在创建容器时docker已经自动将映射的端口写入iptables配置了,ufw是iptables的前端所以iptables配置权限高于ufw配置;通过命令查看防火墙状态,docker已经自动将映射的端口写入iptables配置。
docker 防火墙 设置不生效问题解决
jxyk2007的专栏
08-03 2406
正确方法: iptables -R DOCKER 3 -p tcp -m tcp -s 127.0.0.1 --dport 8500 -j ACCEPT。方法1: firewall-cmd --zone=public --remove-port=8500/tcp --permanent(没有用)方法2: 修改配置文件 vim /etc/firewalld/zones/public.xml (没有用)报错Warning: NOT_ENABLED。想把容器的端口8500禁止掉。...
Linux运维总结:基于Centos系统使用firewalld为docker容器配置防火墙策略》
东城绝神
11-09 7416
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
Centos7 firewalldocker冲突问题
Ranger
11-02 4074
Centos7 firewalldocker冲突的问题系统环境问题描述问题排查解决办法 本文只是我对问题的记录,只能用作参考,不能说明问题,请谨慎使用 系统环境 系统:Centos7 防火墙工具:firewalld Docker容器:docker容器使用docker默认的网桥(bridge),进行了端口映射 问题描述 在系统防火墙firewalld关闭的状态下,启动了一个docker容器,然后启动了防火墙,发现docker容器中的服务不能访问,然后使用firewall-cmd --zone=publi
linux防火墙指令&&Docker运行指令总结
李青林的博客
08-29 2039
linux防火墙指令 firewall-cmd --state 查看防火墙运行状态 service firewall start 开启防火墙 service firewall stop 关闭防火墙 service firewall restart 重启防火墙 firewall-cmd --permanent --add-port =8080-8085/tcp 开放 8...
linux防火墙 docker,docker容器下的防火墙
weixin_32911063的博客
05-12 1303
笔者在旷视科技从事私有云平台开发,在工作中遇到了在服务器上防火墙无法阻止docker容器bridge模式下服务的问题。背景常见的linux防火墙方式为在iptables的INPUT链,设置白名单,端口或者ipsudo iptables -L INPUT -nv --line如图所示, 防火墙对于10.199.1.26, 10.122.104.147, 10.199.1.25 三个为可通行ip, 以...
linux 不用firewall-cmd开启端口
05-30
Linux 中,可以使用 iptables 命令来开启端口。具体步骤如下: 1. 打开终端或者登录到 Linux 服务器上。 2. 输入以下命令以查看当前 iptables 的规则。 ``` sudo iptables -L ``` 3. 如果您的 iptables 规则中没有允许特定端口的规则,则需要添加规则。例如,您可以使用以下命令允许端口 80: ``` sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` 4. 最后,您需要保存 iptables 规则以确保它们在下次系统启动时仍然存在。您可以使用以下命令来保存 iptables 规则: ``` sudo iptables-save > /etc/sysconfig/iptables ``` 注意:不同的 Linux 发行版可能有不同的保存规则的方式。请根据您的 Linux 发行版的文档进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值