使用iptables动态映射Docker容器端口

最新推荐文章于 2024-04-23 22:47:53 发布
最新推荐文章于 2024-04-23 22:47:53 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 运维 文章标签: docker 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y1534414425/article/details/126487727
版权

0x0. 安装telnet

telnet介绍:https://zh.wikipedia.org/wiki/Telnet

本文用于测试指定端口是否开放,命令如下:

telnet [ip] [port]

参数解释:

  • ip:ip地址
  • port:端口

如果指定端口开放则结果如下:

telnet

如果指定端口未开放则结果如下:

telnet

PS:可以通过快捷键ctrl+]退出连接,然后输入q退出telnet

0x1. 安装Docker

Docker官方安装文档:https://docs.docker.com/engine/install/

0x2. 实战

目标:开放js-redis容器的443端口

如下图所示,容器名称为js-redis,仅映射了6378 => 6379

dockerps

使用以下命令进行动态映射Docker容器的端口

iptables -t nat -A DOCKER -p tcp --dport ${宿主机端口} -j DNAT --to-dest ${容器ip}:${容器端口}
iptables -t nat -A POSTROUTING -p tcp -s ${容器ip} -d ${容器ip} -dport ${容器端口} -j MASQUERADE
iptables -A DOCKER -p tcp -d ${容器ip} --dport ${容器端口} -j ACCEPT

我们映射js-redis容器的8081 => 8082

iptables -t nat -A DOCKER -p tcp --dport 8081 -j DNAT --to-dest 172.18.0.4:8082
iptables -t nat -A POSTROUTING -p tcp -s 172.18.0.4 -d 172.18.0.4 -dport 8082 -j MASQUERADE
iptables -A DOCKER -p tcp -d 172.18.0.4 --dport 8888 -j ACCEPT

补充:

  1. iptables其他常用命令:
  • 列出Dcoker已设置的规则,带行号
iptables -t nat -vnL DOCKER --line-number
  • 根据行号删除规则
iptables -t nat -D DOCKER 3
  1. 查看容器ip命令
docker inspect [容器id或者容器名称] | grep IPAddress

在这里插入图片描述

0x3. 参考

  1. iptables
  2. Docker and iptables
  3. How do I assign a port mapping to an existing Docker container?
jonssonyan
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器使用iptables时的最小权限的开启方法
01-10
Docker容器使用iptables时的最小权限的开启方法 Dcoker容器使用的过程中,有的时候是需要使用容器使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器使用iptables呢?要如何开启权限呢? 那么在docker进行run的时候如何将此容器的权限进行配置呢?主要是使用–privileged或–cap-add、–cap-drop来对容器本身的能力的开放或限制。以下将举例来进行说明: 例如: 有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用
docker 动态映射运行的container端口实例详解
01-11
docker动态映射运行的container端口,最近做项目,对于docker动态映射运行的container端口的资料有必要记录下,以便以后在用到, Docker自带了EXPOSE命令,可以通过编写dockerfile加-p参数方便的映射Container内部端口,但是对于已经运行的container,如果你想对外开放一个新的端口,只能编辑dockerfile然后重新build,有点不太方便。 其实docker本身使用iptables来做端口映射的,所以我们可以通过一些简单的操作来实现动态映射运行中的container端口。 通过运行iptables命令可以看到具体的端口映射(下面的实例
解决docker指定udp端口号的问题
01-08
docker启动容器时会指定访问端口,可以通过多个-p指定多个端口映射。 udp在后台会有一个自己的端口号,区别于服务访问的端口号,这时就需要启动服务时候来指定一下了。 如: docker run -p 8080:8090 -p 10000:11000/udp aaa:latest 8080是服务本身暴露的端口号,8090是服务本身端口号。10000是udp暴露的端口号 11000为udp本身监听的端口,如果是udp要注意要声明。 补充知识:docker 容器中的项目监听udp 无法收到消息 在我们生成容器并运行时,要配置对外暴露端口,如果使用到udp的话,还要单独指定udp端口 1.ud
iptables实现docker容器动态端口映射实操
最新发布
m0_61230499的博客
04-23 775
之前在《Docker 动态修改容器端口映射的方法》一文中,说明了如何使用修改配置和加防火墙规则实现动态端口映射。但是没有具体分享加防火墙实现动态端口映射的实际案例。今天就分享一下实际操作案例,供大家参考。
Docker动态容器Container暴露端口操作
01-08
查看Container的IP地址 docker inspect | grep IPAddress 查看Container的映射端口 docker port eg. docker port d8dac7399647 docker port hfq-jedi-zxf-eden 用iptables查看容器映射情况 iptables -t nat -nvL iptables -t nat -nvL –line-number 举例新增端口映射 ##将主机31101 映射容器 6379端口 ipt
iptables 端口映射设置
chengxuyuanyonghu的专栏
09-30 1521
保存iptables的防火墙规则的方法如下: 解决方法: iptables命令建立的规则临时保存在内存中。如果系统在永久保存这些规则之前重启,所有设置的规则都将丢失。如果要想使iptables设置的规则在下次重启系统之后仍然生效则需要永久保存这些规则,以root身份执行: /sbin/service iptables save 该操作将执行iptables初始化脚本,该脚本
iptables实现内外网端口映射及转发上网
qq_58733481的博客
03-04 630
某192.168.1.0/24内网网段内只有一台主机A连接到了公网,A的两块网卡分别有一个公网地址(369.258.147.222)和一个内网地址(192.168.1.10),现需要内网的另一台主机B(192.168.1.77)连接到互联网下载某些东西,同时将B的某服务端口开放到公网上,两台主机的系统均为CentOS7。在主机B运行redis服务后,扫描369.258.147.222的13679端口,发现已经是开启状态,端口转发成功。OK,现在在主机B ping一个公网网址,发现已经可以ping通了。
iptables端口映射
jieGary的编程之路
09-20 2347
#打开转发开关 要让iptables端口转发生效,首先需要打开转发开关 方法一:临时打开,重启后失效 $sudo su #echo 1 >/proc/sys/net/ipv4/ip_forward 方法二:永久打开,重启依然有效 编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward=1前面的#注释去掉,保存文件,然后执行sudo sysctl -p使其生效 ...
给运行中的docker容器动态添加端口映射
一段曲折的旅程,一个艰难的人生
10-27 1808
有时发现一个容器少配置了一个端口,又不想删除重建,怎么办?参考本文的三种方法。
docker容器iptables failed:&…
blueyan163的博客
03-31 6791
今天tomcat的docker容器挂了,只要是带命令-p 映射端口就起不来并且报错: Error response from daemon: Cannot start container eb9d501f56bc142d9bf75ddfc7ad88383b7388ca6a5959309af2165f1fff6292: iptables failed: iptables --wait -t nat 
Docker端口映射
热门推荐
chengxuyuanyonghu的专栏
08-03 6万+
为什么要端口映射? ​ 在启动容器时,如果不配置宿主机器与虚拟机的端口映射,外部程序是无法访问虚拟机的,因为没有端口。 ​ 端口映射的指令是什么? ​ docker指令:docker run  -p  ip:hostPort:containerPort  redis ​ 使用-p参数  会分配宿主机的端口映射到虚拟机。  ​ IP表示主机的IP地址。 ​  hostPo
docker_iptables:帮助手动管理 Docker 容器iptables 端口映射的实用程序
06-11
该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 ...
iptables 添加,删除,查看,修改,及docker运行时修改端口
a1058926697的博客
05-23 5285
出口我都是开放的,所以出口就没必要在去开放端口了。将源地址是 192.168.10.0/24 的数据包进行地址伪装如果不加-t的话,默认就是filter表,查看,添加,删除都是的所有添加,删除,修改后都要保存起来,/etc/init.d/iptables save.上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。
iptables端口映射
zurong的专栏
07-14 721
将发到20.87.1.5的40000——50000的udp数据包转发到本地192.168.12.2 这个IP。
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 7996
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
docker网络访问和端口映射
武子豪的博客
05-08 1463
docker网络访问和端口映射详细讲解。
iptables 应用初探(nat+三层访问控制)
郭晓檀的专栏
02-05 1127
 iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要说明的是,iptables操作的是2.4以上内核的netfi
docker -p 时iptables无效问题
weixin_33890526的博客
09-07 2217
有点标题党嫌疑,本质上是chain链顺序问题 问题复现 $ docker run -d -p 11111:80 nginx:alpine $ iptables -A INPUT -p tcp --dport 11111 -j DROP $ curl -I http://localhost:11111 HTTP/1.1 200 OK Server: nginx/1.15.1 Date: Fri, ...
docker 端口映射错误解决方法
江湖·郎中·路
10-10 2万+
COMMAND_FAILED: '/sbin/iptables -t nat -A DOCKER -p tcp -d 0/0 --dport 8111 -j DNAT --to-destination 172.17.0.6:8111 ! -i docker0' failed: iptables: No chain/target/match by that name. pkill
docker 动态映射端口iptable
05-25
Docker 动态映射端口是指在启动 Docker 容器时,将容器内部的端口映射到宿主机的一个随机端口上,这样可以避免端口冲突的问题。而 iptables 是一个 Linux 内核中的防火墙工具,它可以对网络数据进行过滤、转发、重定向等操作,因此可以用来实现 Docker 动态映射端口。 具体来说,当启动 Docker 容器时,可以使用 `-p` 参数指定需要映射端口,例如: ``` docker run -p 8080:80 nginx ``` 这条命令将会启动一个 nginx 容器,并将容器内部的 80 端口映射到宿主机的 8080 端口上。 此时,Docker 会自动在 iptables 中添加一条规则,将外部流量转发到随机的宿主机端口。可以使用 `iptables -L -n` 命令来查看 iptables 规则,例如: ``` Chain DOCKER (2 references) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:8080 ``` 这里的 `172.17.0.2` 是容器的 IP 地址,`tcp dpt:8080` 表示目标端口为 8080。可以使用 `iptables -t nat -L -n` 命令来查看 NAT 表中的规则,例如: ``` Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 ``` 这里的 `MASQUERADE` 规则会将容器内部的流量伪装成宿主机的流量,并通过 NAT 转发到外部网络。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值