Docker 火了!外部网络可直接访问映射到 127.0.0.1 的服务。。。

最新推荐文章于 2025-04-28 11:59:44 发布
原创 最新推荐文章于 2025-04-28 11:59:44 发布 · 379 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #网络 #容器

博客揭示了Docker的一个安全问题,即使通过-p 127.0.0.1:80:80将端口映射到回环地址,外部仍能访问服务。原因是Docker的Iptables规则允许通过主机IP访问容器。文章通过概念验证和解决方案阐述了问题,并建议Docker改进iptables规则以增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这两天 Hacker News 上面有一个贴子火了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。

即使你通过像 -p 127.0.0.1:80:80这样的参数将端口暴露到回环地址,外部仍然可以访问该服务,怎么回事呢?

原因其实很简单,Docker 添加了这样一条 Iptables 规则:

🐳  → iptables -nvL DOCKERChain DOCKER (2 references) pkts bytes target prot opt in       out     source    destination    0 0     ACCEPT tcp  --  !docker0 docker0 0.0.0.0/0 172.17.0.2  tcp dpt:80

只要外部攻击者通过这台主机将流量发送到 172.17.0.2:80,就会匹配这条规则并成功访问容器中的服务,127.0.0.1 并没有什么卵用。

尴尬的是,选择将端口映射到 127.0.0.1 的用户基本上都是觉得这样很安全,以至于他们不再想采取进一步的安全措施。现在问题来了,映射到 127.0.0.1 不能说是非常安全吧,只能说是与安全毫不相干。。。

# 概念验证

下面通过一个例子来验证。

在 A 机器上运行一个 PostgreSQL 容器,并将端口映射到 127.0.0.1。

# IP: 192.168.0.100🐳  → docker run -e POS
最低0.47元/天 解锁文章
柚子茶1990
关注
Docker (五):Docker网络与Spring boot项目发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
08-31 5万+
🟢 Docker (五):Docker网络与Spring boot项目发布
Docker进阶篇-Docker网络
陪我养猪吧的博客
02-02 7331
网络模式简介使用方式bridge为每一个容器分配、设置IP等,并将容器连接到一个docker0虚拟网桥,默认为该模式。--network bridge,默认使用docker0host容器将不会虚拟出自己的网卡、配置自己的IP等,而是使用宿主机的IP和端口。none容器有独立的Network namespace,但并没有对其进行任何网络设置,如分配veth pari和网桥连接、IP等。container。
端口射的认识与使用
qq_35278597的博客
04-24 831
端口射 背景 公网服务器上有些服务实际上没有必要直接暴露在公网端口,比如各种dashboard,因为仅仅是自己查看即可,为了尽量避免端口暴露,从而多大被攻击面,尝试使用ssh端口射实现跨防墙的服务访问 SSH端口转发也称作SSH隧道,通过SSH登陆之后,在SSH客户端与SSH服务端之间建立了一个隧道,从而进行通信。SSH隧道是非常安全的,因为SSH是通过加密传输数据的(SSH全称为Secure Shell) 分类 ssh端口射可分为三类: 本地端口射 将发送到本地端口的请求,转发
Docker 了:主机外可直接访问射到 127.0.0.1服务
云原生实验室
06-25 2181
这两天 Hacker News 上面有一个贴子[1]了,这是一封发给 Docker 安全团队的邮件,主要讲的是 Docker 有一个非常离谱的安全隐患。即使你通过像 -p 127.0.0.1:80:80 这样的参数将端口暴露到回环地址,外部仍然可以访问服务,怎么回事呢?原因其实很简单,Docker 添加了这样一条 Iptables 规则:????→iptables-...
如何设置端口射?内网IP射到外网访问,附无公网ip端口射工具方法
最新发布
csghdn的博客
04-28 1581
在另一台处于外网的设备上,通过浏览器或相应的客户端软件,输入路由器的公网 IP 地址和设置的外部端口号,尝试访问目标服务器上的服务。(4)配置端口设置:在 “协议和端口” 页面,选择 “TCP” 或 “UDP” 协议,根据要射的服务来确定。最后,在 “名称” 页面,输入一个便于识别的规则名称,如 “Web 服务端口射”,点击 “完成”。本地服务器防墙设置是为了让本地允许给其他计算机能够连接访问权限,这是最基本的操作,不管你是需要局域网内访问,还是让外网连接访问,都需要的一步。
Docker实战(五)之端口射与容器互联
weixin_34122810的博客
07-07 552
除了网络访问外,Docker还提供了两个很方便的功能来满足服务访问的基本需求:一个是允许容器内应用的服务端口到本地宿主主机;另一个是互联机制实现多个容器间通过容器名来快速访问1.端口射实现访问容器 (1)从外部访问容器应用 在启动容器的时候,如果不指定对应的参数,在容器外部是无法通过网络访问容器内的网络应用和服务的。 当容器中运行一些网络应用...
127.0.0.1:xxxx端口射到物理机IP
o0haidee0o的博客
10-06 5669
一个应用的Dashboard访问地址是127.0.0.1:8265,但是我没有权限使用物理机的浏览器查看,只能远程命令行访问机器,该机器IP是10.18.127.2,所以需要用如下命令射一下: iptables -t nat -A OUTPUT -p tcp -d 10.18.127.2 --dport 8265 -j DNAT --to 127.0.0.1:8265 这时用其他机器访问10.18.127.2:8265就可以看到Dashboard页面了。 ...
本地服务实现外网访问,线上调试本地服务代码专用,外网访问127.0.0.1调试本地代码
11-23 2182
这里用的 natapp ,因为有一个免费的隧道提供,而且访问起来比什么 ngrok 稳定多了,用着也比较方便,只需要更改下隧道的参数就行了,接下来看图文教程: 官网访问地址:https://natapp.cn/ 【GO>>>】 我的电脑是 win10 64位 先去注册个账号,放心大胆的注册就行了,会有免费的隧道的 注册成功之后看这里: 先点购买隧道: 如果只是玩玩试试的直接...
Docker容器绑定外部IP和端口的方法
09-30
- 端口绑定只影响外部访问容器间的通信不受这些限制,它们可以直接通过内部网络进行通信,无需端口射。 - 需要注意的是,某些端口(如22、80、443等)可能需要管理员权限才能绑定。 总的来说,Docker的端口...
局域网直接访问docker容器网络配置
mygirle的博客
09-18 3656
配置逻辑桥接网卡 宿主机安装bridge-utils工具 yum install -y bridge-utils 配置br0逻辑桥接网卡 备份原有网卡配置 mkdir /etc/sysconfig/network-scripts-backup cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts-backup/ifcfg-eth0.backup 添加bridge逻辑网卡配置 #覆盖原有网卡 此处的e
内网地址射成外网可访问地址
洒家
10-30 5985
在开发的时候,难免需要外网来访问自己电脑上地址,这时候可以使用ngrok来实现射,他可以把自己本身的127.0.0.1射成外网可访问地址,下载地址:https://download.csdn.net/download/lihao1107156171/10754283。 使用方式:解压到硬盘上,进到该文件夹中,在地址栏敲cmd进入到命令行 然后输入ngrok -config=ngrok.cfg ...
Docker基础内容之端口
dengji8750的博客
06-27 172
随机docker run -d -P training/webapp python app.py # -P会随机射一个 49000~49900 的端口到内部容器开放的网络端口 射所有接口地址 docker run -d -p 5000:5000 training/webapp python app.py 射到...
docker访问宿主机127.0.0.1
勿忘初心
11-30 7642
mac和windows 直接使用host.docker.internal替换127.0.0.1访问 linux 第一步:新建一个网桥 docker network create -d bridge --subnet 192.168.0.0/24 --gateway 192.168.0.1 localNet 第二步:使用192.168.0.1代替127.0.0.1访问
Docker——端口射与容器互联
吴声子夜歌的博客
08-26 451
端口射实现容器访问 1. 从外部访问容器应用: 在启动容器的时候,如果不指定对应参数,在容器外部是无法通过网络访问容器内的网络应用和服务的。 当容器中运行一些网络应用,要让外部访问这些应用时,可以通过-P或-p参数来指定端口射。 当使用-P (大写的)标记时,Docker会随机射一个49000~49900的端口到内部容器开放的网络端口。 -p则可以指定要射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有: IP:HostPosrt:ContainerPort IP::Contain
docker容器地址
sjc7140的博客
04-20 1909
地址射方式 启动时如果用-P(大写),Docker会随机射一个49000~49900的端口到内部容器开放的网络端口。 使用-p(小写)可以指定射的地址 三种格式: IP:HostPort:ContainerPort IP::ContainerPort HostPort:ContainerPort 1.射所有接口地址 不指定ip,指定端口,如-p 5000:5000,此时会将所有本地所有地址的接口 2.射指定地址 指定ip和端口,如-p 127.0.0.1:5000:5000,此时只会将本地12
将外网服务器地址端口射到本地
fht3873的博客
04-24 3073
将外网服务器端口射到本地端口_litchi&&mango的博客-CSDN博客_服务器端口射到本地
Docker的数据管理和端口射实现容器访问
m0_67392182的博客
08-14 896
root@docker1 ~]# docker run --name c1 -d -v /html:/usr/share/nginx/html -p 80:80 nginx:1.14-alpine //将容器c1的 /usr/share/nginx/html 和宿主机的 /html 和做一个挂载关联。docker run --link 可以用来链接2个容器,使得源容器(被链接的容器)和接收容器(主动去链接的容器)之间可以相互通信,并且接收容器可以获取源容器的一些数据,如源容器的环境变量。...
Docker容器网络端口射实战-i2c协议解析
格式通常是`<主机端口>:<容器端口>`,例如`docker run -d -p 80:5000 training/webapp python app.py`,这会将主机的80端口射到容器的5000端口,使得外部可以通过主机的80端口访问容器内Python应用的服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值