个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
Docker 使用 "-p :"时忽略 iptable 规则
转载
作者:IT老高
更新时间:2023-10-28 12:44:10
25
4
25
4
几天前才意识到 Docker 似乎绕过了我的 iptable 规则。我对 Docker 和 iptables 的经验并不令人难以置信。最近几天尝试了很多不同的东西。还看到最近的 docker 版本有很大的变化,有一个特殊的 DOCKER 链,应该允许我这样做。但是不确定我做错了什么,但它永远不会像我期望的那样做。
所以我想要的很简单。我希望它表现得像预期的那样。如果我有一个 ACCEPT-Rule 要通过,如果没有它就会被阻止。
我的 iptable 最初看起来是这样的(所以在我多次尝试不成功之前):
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 1.2.3.4 -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -j DROP
COMMIT
希望它完全符合我的要求。只允许访问端口 22 和 80,还允许来自 ip 1.2.3.4 的端口 123。但是,如果我使用“-p 123:123”创建一个容器,每个人都可以访问它。谁能帮助我并告诉我如何更改上述文件?
谢谢!
Docker-版本:1.6.2
编辑:
最初我的不同尝试是为了不使问题过于复杂。但是,至少添加其中一个可能会有所帮助。
*nat
:PREROUTING ACCEPT [319:17164]
:INPUT ACCEPT [8:436]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [16:960]
:DOCKER - [0:0]
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
:DOCKER - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -s 1.2.3.4 -p tcp -m tcp --dport 123 -j ACCEPT
-A DOCKER -j DROP
-A INPUT -j DROP
COMMIT
以上类型的作品。但是会遇到很多其他问题。例如,我是否遇到容器链接问题、DNS 不再工作等等。因此,最终添加了许多额外的规则来解决这些问题,但我永远无法达到它正常运行的状态。所以我想大多数情况下都有更好、更简单的解决方案。
解决方案:
最终或多或少地按照 larsks 所说的那样做。只是没有加到 FORWARD 链上,我把它加到了 DOCKER 链上。 FORWARD 链的问题在于,当 Docker 在第一个位置重新启动时,它会在其中添加它的东西。这导致我的规则被推倒并且没有任何效果。然而对于 DOCKER 链,Docker 似乎只附加了额外的规则,所以我的规则仍然有效。因此,当我保存规则然后重新启动服务器时,一切仍然正常。
所以现在看起来或多或少是这样的:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
:DOCKER - [0:0]
# That I can access from IP 1.2.3.4
-A DOCKER -s 1.2.3.4/32 -p tcp -m tcp --dport 123 -j ACCEPT
# That I can access from other Docker containers
-A DOCKER -o docker0 -p tcp -m tcp --dport 123 -j ACCEPT
# Does not allow it for anything else
-A DOCKER -p tcp --dport 123 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
COMMIT
最佳答案
我不是 iptables 方面的专家,但我知道如果您使用 -p 127.0.0.1:123:123 运行容器,那么端口将不会在所有接口(interface)上公开,只是在环回上。
关于Docker 使用 "-p <port>:<port>"时忽略 iptable 规则,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30769829/
25
4
0
-
port - 你为什么说 "TCP port"?
我正在学习网络和套接字,但有些东西我不明白。我经常听说“TCP端口”但我认为端口与应用层有关(例如 HTTP 服务器为 80)。那你为什么不说“应用程序端口”呢?为什么端口似乎与 TCP 层相关联(它
-
Nginx,如何允许DOMAIN :PORT and IP:PORT requests
配置 Nginx 以允许像这样的 DOMAIN:PORT 请求的正确方法是什么: http://example.com:8080/?a=xxx&b=yyy&c=zzz over TCP or UDP
-
python - 访问域:port instead of IP:port
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a software
-
Nginx:如何在以下配置中将每个 http:port 请求重定向到 HTTPS:port?
这是我的 nginx.conf,适用于 https。 如果有人输入 HTTP://dev.local.org:3002,我该如何重定向到 HTTPS://dev.local.org:3002? 这个
-
php - 解析 IP :Port from string with characters after the port #
我在这方面需要一点帮助,而我对这方面的 RegEx 知识有点欠缺。 我有一个代理列表,我正在尝试解析该列表并将 IP 和端口号与字符串分开。 正在读取的字符串看起来像这样。(示例 1) 121.121
-
java - Firefox port.emit 和 port.on 在扩展中不起作用
我正在尝试制作一个 Firefox 扩展。我需要与后台脚本 (main.js) 交换数据,所以我尝试使用端口,但它不起作用。 //Content.js self.port.on("alert",fun
-
bash - [[ -z "$PORT"]] && export PORT=8080 bash 命令有什么作用?
我正在学习教程,他们使用命令[[ -z "$PORT" ]] && export PORT=8080我不完全明白它在做什么。我对 bash 命令的了解非常基础,所以我什至不知道用什么谷歌来解决这个问题
-
port - PIC 18F 上 PORT 和 LATCH 的区别
我已经阅读了数据表和谷歌,但我仍然不明白。 就我而言,我将 PIC18F26K20 的 PIN RC6 设置为 INPUT 模式: TRISCbits.TRISC6 = 1; 然后我用 PORT 和
-
Azure VM端点: mapping public port to a different local port
我想知道是否可以将公共(public) IP 端口(例如端口 80)映射到 Azure iaas VM 上的不同本地/私有(private) IP 端口(例如端口 81)。我相信这在旧门户中是可行的,
-
c - libuv : src port of response not same as port on which process is listening
我有一个用 python-twisted 编写的客户端,它将 UDP 数据包发送到 IP aaa.bbb.ccc.ddd 的端口 1234,然后等待响应。我还有用 C-libuv 编写的 UDP 服务
-
node.js - 为什么我可以访问我的网站(IP地址):port but not (domain name):port?
我有一个使用弹性 IP 12.34.56.78 运行的 Amazon EC2 实例。我拥有一个域名 example.com,我已将其设置为指向 EC2 实例。我在 EC2 实例的端口 80 上运行 A
-
linux - AWS : SSH port timeout after changing port number
我正在尝试在 AWS Lightsail 上配置网站。我做的第一件事是在 中将端口号从 22 更改为 2200 /etc/ssh/sshd_config ,然后我像这样配置了简单的防火墙 sudo u
-
Docker 使用 "-p
: "时忽略 iptable 规则 几天前才意识到 Docker 似乎绕过了我的 iptable 规则。我对 Docker 和 iptables 的经验并不令人难以置信。最近几天尝试了很多不同的东西。还看到最近的 docker 版本有很
-
ubuntu - Zerotier cli命令在ubuntu中给出错误 "missing port and zerotier-one.port not found"
我从他们的website 下载了零层使用以下命令: curl -s https://install.zerotier.com | sudo bash 每当我尝试使用 zerotier cli 时,都会
-
php - 如何用 "Port O' Brian 替换 "Port O' Brian”?
我是字符串操作的新手,只是试图替换列表中的值。 我试图修复的两个输入是 MCAFEE和 PORT O'BRIAN . 所以我跑 ucwords(strtolower($rawTitle)) .但现在我
-
openafs - 警告 : remote port forwarding failed for listen port 52698
我正在使用 SSH 访问我大学的 afs 系统。我喜欢使用 rmate(远程 TextMate),它需要 SSH 隧道,因此我在 .bashrc 中包含了这个别名。 alias sshr=ssh -R
-
port - Heroku 打开 "Puma Port 5000 Already In Use"导轨
当我使用 Control-C 退出“Heroku Open”(Heroku 工具栏服务器命令)时。我无法重新启动。我收到此错误: /vendor/bundle/gems/puma-2.14.0/lib
-
javascript - 无法让 port.emit 和 port.on 在 Firefox 附加组件中工作
我正在发送这样的消息: self.port.emit("nodes_grubed", textNodesValues); 并想对此使用react: worker.port.on("nodes_grub
-
javascript - 在 main.js 和附加到选项卡的脚本之间正确使用 port.emit 和 port.on
我正在尝试在此扩展中创建一个函数,该函数将打开具有给定网址的选项卡,并在该选项卡上使用给定文件名运行脚本。该功能大部分工作正常,只是我无法在主脚本和我在新选项卡上运行的脚本之间进行通信(我为此使用了
-
c# - .NET MVC 4调用localhost :port and localhost:port/home/index之间的区别
我在我的 .NET MVC 4 元素中使用 Bootstrap ,我使用 NuGet 导入 Bootstrap 我的元素,我有一个布局页面,我在这个页面中包含 Bootstrap 标签,我的索引页面正
滴滴打车优惠券免费领取
我是一名优秀的程序员,十分优秀!