docker容器限定ip访问

docker容器限定ip访问

  • 一、测试所需环境:
  • [二、使用docker的 iptables 策略](#二、使用docker的 iptables 策略)
  • [三、Docker使用iptables 与系统Firewalld之间的关系](#三、Docker使用iptables 与系统Firewalld之间的关系)
  • 四、冲突解决方案

一、测试所需环境:

主机1:

ip:192.168.3.117

环境配置:docker、httpd(docker容器)

主机2:

ip:192.168.3.122


二、使用docker的 iptables 策略

默认情况下,允许所有外部源IP连接到Docker主机。要仅允许特定的IP(192.168.3.122)访问容器,需要在DOCKER-USER过滤器链中插入相应规则。具体命令如下:

  1. 查看DOCKER-USER的链中的规则信息
powershell 复制代码
#显示DOCKER-USER的链中的规则信息
iptables -nL DOCKER-USER
  1. 主机1httpd容器的默认访问端口为80,首先要禁止所有IP访问docker的80端口
powershell 复制代码
# 在主机192.168.3.117执行如下命令:(ens192 为本机网卡,以实际为准)
#禁止所有IP访问docker的80端口
iptables -I DOCKER-USER -i ens192 -p tcp --dport 80 -j DROP
  1. 限定主机2访问主机1的httpd容器,删除DOCKER-USER的链中的默认规则(默认规则允许任意ip访问)
powershell 复制代码
#只允许192.168.3.122访问docker的80端口
iptables -I DOCKER-USER -i ens192 -s 192.168.3.122 -p tcp --dport 80 -j ACCEPT
#删除DOCKER-USER的链中的默认规则
iptables -D DOCKER-USER -j RETURN
  1. 保存新的DOCKER-USER策略,并设置iptables开机自启
powershell 复制代码
#保存DOCKER-USER策略
service iptables save
#设置iptables开机自启,使策略永久生效
systemctl enable iptables.service
#或者
/etc/rc.d/init.d/iptables save

注: 通过iptables 命令设置的规则,默认是临时性的。若需要规则永久生效,则要将命令写入iptables配置文件之中。
使用此策略时,Firewall会被关闭

三、Docker使用iptables 与系统Firewalld之间的关系

Docker使用iptables来管理网络流量和端口转发。而Firewalld是CentOS/RHEL 7中默认的防火墙管理工具,它也使用iptables来实现规则。

当Firewalld激活时,它会自动配置iptables规则,并将iptables的管理权限交给自己。这就导致了Firewalld会屏蔽Docker容器的网络访问。这样会导致,在系统Firewalld限定ip访问后,容器的网络仍旧是任意ip均可访问。


四、冲突解决方案

禁用 docker 的 iptables 规则,使用系统的Firewalld

powershell 复制代码
#在daemon.json文件加入以下命令,若没有该文件,需要创建一个
vi /etc/docker/daemon.json
{
"iptables":false
}

开启网络地址转换(NAT)

powershell 复制代码
firewall-cmd --add-masquerade --permanent
#重新加载防火墙设置,使刚才添加的规则生效
firewall-cmd --reload

仅允许主机2访问主机1的80端口

powershell 复制代码
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.3.122" port protocol="tcp" port="80" accept'
#重新加载防火墙设置,使刚才添加的规则生效
firewall-cmd --reload
#查看防火墙设置
firewall-cmd --list-all

重启docker

powershell 复制代码
systemctl restart docker
相关推荐
蜜獾云20 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
年薪丰厚2 小时前
如何在K8S集群中查看和操作Pod内的文件?
docker·云原生·容器·kubernetes·k8s·container
摸鱼也很难7 小时前
Docker 镜像加速和配置的分享 && 云服务器搭建beef-xss
运维·docker·容器
鸠摩智首席音效师10 小时前
Docker 中如何限制CPU和内存的使用 ?
docker·容器
Michaelwubo10 小时前
Docker dockerfile镜像编码 centos7
运维·docker·容器
jingyu飞鸟10 小时前
centos-stream9系统安装docker
linux·docker·centos
好像是个likun10 小时前
使用docker拉取镜像很慢或者总是超时的问题
运维·docker·容器
玖疯子13 小时前
介绍 Docker 的基本概念和优势,以及在应用程序开发中的实际应用。
docker
暴富的Tdy13 小时前
【快速上手Docker 简单配置方法】
docker·容器·eureka
Karoku06614 小时前
【k8s集群应用】kubeadm1.20高可用部署(3master)
运维·docker·云原生·容器·kubernetes