iptables限制Docker IP和端口访问

已于 2022-10-27 15:43:40 修改
阅读量8.8k 收藏 44
点赞数 7
分类专栏: 企业运维实战 Doker运维实战 文章标签: docker 运维 网络 iptables
于 2022-07-25 17:42:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeqinghanwu/article/details/125979997
版权

        等保整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptables对DOCKER-USER链做限制。

目录

一、【模板参考】限制与Docker主机的连接

二、【实际案例】iptables限制Docker端口和IP

1、案例1:限制IP访问

2、案例2:限制docker指定端口访问策略

3、查询DOCKER-USER策略

4、删除DOCKER-USER策略

5、保存DOCKER-USER策略,默认临时生效

三、访问测试

一、【模板参考】限制与Docker主机的连接

       默认情况下,允许所有外部源IP连接到Docker主机。要仅允许特定的IP或网络访问容器,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。

#限制除192.168.1.1地址外的其他地址访问
$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP

请注意,您将需要更改ext_if与主机的实际外部接口相对应。!排除以外。您可以改为允许来自源子网的连接。

#限制除192.168.1.0/24网段外的其他地址访问
$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP

最后,您可以指定要接受的IP地址范围--src-range (请记住-m iprange在使用--src-range或时也要添加--dst-range):

#限制除192.168.1.1-192.168.1.3外的其他地址访问
$ iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP

        您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。例如,如果Docker守护程序同时监听 192.168.1.99和10.1.2.3,则可以制定特定于10.1.2.3并保持 192.168.1.99打开的规则。

二、【实际案例】iptables限制Docker端口和IP

1、案例1:限制IP访问

1.1 首先需添加一条禁止所有IP访问docker策略

iptables -I DOCKER-USER -i eth0  -s 0.0.0.0/0 -j DROP

注:允许上方命令后,如果出现容器无法上网问题,请将下方策略添加到上方策略前。

iptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

1.2 在依次添加所有允许访问docker的IP,允许172.27.100.101地址访问docker

iptables -I DOCKER-USER -i eth0  -s 172.27.100.101 -j ACCEPT

2、案例2:限制docker指定端口访问策略

2.1 禁止所有IP访问docker的389端口

iptables -I DOCKER-USER -i eth0 -p tcp --dport 389 -j DROP

2.2 允许172.27.30.92地址访问docker的389端口

iptables -I DOCKER-USER -i eth0  -s 172.27.30.92 -p tcp --dport 389 -j ACCEPT

3、查询DOCKER-USER策略

[root@test ~]# iptables --line -nvL  DOCKER-USER 
Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        8   432 ACCEPT     tcp  --  eth0   *       172.27.30.92         0.0.0.0/0            tcp dpt:389
2       13   740 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:389
3      188 12524 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0  

4、删除DOCKER-USER策略

#删除DOCKER-USER链第一条(num)规则
iptables -D DOCKER-USER 1

5、保存DOCKER-USER策略,默认临时生效

[root@test ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  确定  ]

三、访问测试

telnet测试: 

[root@zabbix_server ~]# telnet 127.0.0.1 8075
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection timed out

nc端口测试:

[root@node ~]# nc -zv 172.27.30.94 389
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 172.27.30.94:389.
Ncat: 0 bytes sent, 0 bytes received in 0.01 seconds.

Spring雷
关注
  • 7
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct.sh stop 即可删除创建的屏蔽国外ip访问国内规则,文件,合集等一系列直接删除,且不会影响到自己创建的iptabels规则和ipset合集
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Linux下iptables 禁止端口和开放端口示例
09-15
本篇文章主要介绍了Linux下iptables 禁止端口和开放端口示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决docker指定udp端口号的问题
01-08
docker启动容器时会指定访问端口,可以通过多个-p指定多个端口映射。 udp在后台会有一个自己的端口号,区别于服务访问端口号,这时就需要启动服务时候来指定一下了。 如: docker run -p 8080:8090 -p 10000:11000/udp aaa:latest 8080是服务本身暴露的端口号,8090是服务本身端口号。10000是udp暴露的端口号 11000为udp本身监听的端口,如果是udp要注意要声明。 补充知识:docker 容器中的项目监听udp 无法收到消息 在我们生成容器并运行时,要配置对外暴露端口,如果使用到udp的话,还要单独指定udp端口 1.ud
iptables 添加,删除,查看,修改,及docker运行时修改端口
a1058926697的博客
05-23 5102
出口我都是开放的,所以出口就没必要在去开放端口了。将源地址是 192.168.10.0/24 的数据包进行地址伪装如果不加-t的话,默认就是filter表,查看,添加,删除都是的所有添加,删除,修改后都要保存起来,/etc/init.d/iptables save.上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。
iptables禁用docker暴露的端口
先拙的博客
01-30 6406
分析 Docker容器启动防火墙上的变动 如果暴露本机端口,在nat表的DOCKER链上增加一条规则DNAT tcp -- !<docker-network> 0.0.0.0/0 0.0.0.0/0 tcp dpt:<dest port> to:<new address>:<new port>。可以通过命令sudo iptables -t nat...
[运维] iptables限制指定ip访问指定端口和只允许指定ip访问指定端口
梦醒贰零壹柒
06-07 1万+
iptables
《Linux运维总结:基于Centos系统使用iptablesdocker容器配置防火墙策略》
东城绝神
11-09 6083
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
iptables和容器Docker命令详细解析--看完秒懂
qq_43636320的博客
09-09 4471
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;
iptables 限制所有ip访问22端口,仅开放个别ip访问 持续更新
weixin_45717886的博客
04-26 1万+
查看当前iptables 规则 [root@iZwz9conqz5shxfx2gmnfkZ ~]# iptables -nvL 添加已经建立tcp连接,就开放网络访问 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 添加允许访问22端口ip iptables -A INPUT -s 8.210.62.122 -p tcp --dport 22 -j ACCEPT 拒绝所有ip访问22端口 iptabl.
Docker通过iptables限制端口
最新发布
2301_76251885的博客
11-07 414
后续就走到filter链input表,docker间互相访问的话需放行所以就不需要在input里面配置白名单,或者拦截规则。放行外网指定Ip的话,首先走的还是nat链PREROUTING表,然后走docker表的,因为是外网访问,所以跳过第一条规则,后面匹配对应的容器端口进行转发,走到filter链forward表。因为是-i所以插入到foward链头部,所有先执行drop,后执行accept,这样白名单Ip请求进来时,会匹配到第一条规则,则放行,其他Ip请求进来时,匹配到第二条规则,直接拒绝访问
docker容器启动后添加端口映射
qq_30013585的博客
04-27 2676
1、PREROUTING链 # 1.1 查看NAT表中的PREROUTING链 sudo iptables -t nat --list-rules PREROUTING ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210427094309143.png)
使用iptables动态映射Docker容器端口
jonssonyan
08-31 1475
Docker动态映射端口
限制docker指定端口访问策略
liqinglonguo的博客
06-21 761
我们在使用docker 命令创建容器时,如果没有指定网络类型即network(host,bridge,container,none),默认是 brigde类型,这种类型的网络低版本的宝塔无法控制端口访问,但iptables可以控制。
iptablestcp扩展模块,multiport扩展模块
ystyaoshengting的专栏
11-11 6429
注意,与之前的选项不同,--dport前有两条"横杠",而且,使用--dport选项时,必须事先指定了使用哪种协议,即必须先使用-p选项,示例如下 上图中,我们就使用了扩展匹配条件--dport,指定了匹配报文的目标端口,如果外来报文的目标端口为本机的22号端口(ssh默认端口),则拒绝之。 而在使用--dport之前,我们使用-m选项,指定了对应的扩展模块为tcp,也就是说,如果想要使用...
iptables禁止访问1端口和80端口
weixin_35751194的博客
01-17 1978
iptables -A INPUT -p tcp --dport 1 -j DROP iptables -A INPUT -p tcp --dport 80 -j DROP 这是在 Linux 系统上使用 iptables 禁止访问 1 端口和 80 端口的命令。其中 -A INPUT 表示添加规则到 INPUT 链,-p tcp 表示使用 TCP 协议,--dport 表示目标端口,-j DRO...
docker容器限定ip访问
AMCUL的博客
08-13 2019
当Firewalld激活时,它会自动配置iptables规则,并将iptables的管理权限交给自己。这样会导致,在系统Firewalld限定ip访问后,容器的网络仍旧是任意ip均可访问。而Firewalld是CentOS/RHEL 7中默认的防火墙管理工具,它也使用iptables来实现规则。注: 通过iptables 命令设置的规则,默认是临时性的。若需要规则永久生效,则要将命令写入iptables配置文件之中。禁用 dockeriptables 规则,使用系统的Firewalld。
iptables详解及dockeriptables规则
热门推荐
五侠的博客
10-31 2万+
iptables详解及dockeriptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令dockeriptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 dockeriptables规则 docker网络类型 数据包处理流程 ...
聊聊 Docker 容器网络IPtables 间的亲密关系
easylife206的专栏
01-09 2570
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !有小伙伴在群里问到 Dockeriptables 的关系,这里来具体聊聊。Docker 能为我们提供很强大和灵活的网络能力,很大程度上要归功于与 iptables 的结合。在使用时,你可能没有太关注到 iptables 的作用,这是因为 Docker 已经帮我们自动完成了相关的配置。(MoeLove)➜~...
iptables添加ip端口
04-29
要使用iptables添加IP地址和端口,请按以下步骤操作: 1. 打开终端并以root用户身份登录。 2. 输入以下命令以打开iptables配置文件: ``` sudo nano /etc/sysconfig/iptables ``` 3. 在文件中找到“-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT”这一行。这是允许SSH连接的规则。 4. 如果您要添加新的IP端口,请在该行之下添加以下类似的规则: ``` -A INPUT -m state --state NEW -m tcp -p tcp -s [IP地址] --dport [端口号] -j ACCEPT ``` 请将[IP地址]替换为要允许的IP地址,将[端口号]替换为要允许的端口号。 5. 保存文件并退出。 6. 重新启动iptables以使更改生效: ``` sudo service iptables restart ``` 现在,您已成功添加了IP地址和端口号的规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值