当前位置:   article > 正文

docker封禁对外端口映射

docker封禁对外端口映射

docker比linux防火墙规则优先级要高,一旦在docker里面配置了对外服务端口的话在iptable里面封不掉,需要通过下面的方法进行封禁:

这里我的宿主机IP地址是10.5.1.244,docker 内部网络ip段是默认的172.17段的,以下为命令:

注意要先DROP再ACCEPT,即先输入DROP类命令,后输入ACCEPT命令,后续输入的命令在防火墙的规则会更靠上,即更优先生效。

sudo iptables -I DOCKER-USER -p tcp ! -s 10.5.1.244 --dport 3306 -j DROP #非宿主机IP丢弃

sudo iptables -I DOCKER-USER -p tcp -s 172.17.0.0/16 --dport 3306 -j ACCEPT #docker内部ip允许访问

sudo iptables -I DOCKER-USER -p tcp ! -s 10.5.1.244 --dport 6379 -j DROP #非宿主机IP丢弃

sudo iptables -I DOCKER-USER -p tcp -s 172.17.0.0/16 --dport 6379 -j ACCEPT #docker内部ip允许访问

sudo netfilter-persistent save

sudo netfilter-persistent reload

#可以通过下面的命令查看配置结果

sudo iptables -L DOCKER-USER -n --line-numbers

Chain DOCKER-USER (1 references)

num target prot opt source destination

1 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:7555

2 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:8072

3 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:7555

4 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:8072

5 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:6379

6 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:6379

7 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:3306

8 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:3306

9 RETURN 0 -- 0.0.0.0/0 0.0.0.0/0

以上只对重启前的防火墙规则有效,当这台docker宿主机重启以后所有的配置都会丢失,还需要进一步使用其他方法,下面是解决方案。

sudo nano /etc/iptables-rules.sh

 创建一个脚本文件,脚本内容如下:

  1. #!/bin/bash
  2. # 定义变量
  3. HOST_IP="10.5.1.244"
  4. DOCKER_NETWORK="172.17.0.0/16"
  5. PORTS=(3306 6379 9200 7555 8072)
  6. # 循环封禁端口
  7. for PORT in "${PORTS[@]}"; do
  8. iptables -I DOCKER-USER -p tcp ! -s "$HOST_IP" --dport "$PORT" -j DROP
  9. iptables -I DOCKER-USER -p tcp -s "$DOCKER_NETWORK" --dport "$PORT" -j ACCEPT
  10. done

然后赋予脚本执行权限

sudo chmod +x /etc/iptables-rules.sh

再创建一个服务实现开机自启动执行

sudo nano /etc/systemd/system/iptables-rules.service

 服务内容如下:

  1. [Unit]
  2. Description=Load iptables rules after Docker
  3. After=docker.service
  4. Requires=docker.service
  5. [Service]
  6. Type=oneshot
  7. ExecStart=/etc/iptables-rules.sh
  8. RemainAfterExit=true
  9. [Install]
  10. WantedBy=multi-user.target

 然后配置为开机自启动并重启服务器进行规则测试

  1. sudo systemctl daemon-reload
  2. sudo systemctl enable iptables-rules.service
  3. sudo systemctl start iptables-rules.service
  4. reboot

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/752023
推荐阅读
相关标签
  

闽ICP备14008679号