通过iptables限制docker 容器的运行端口

最新推荐文章于 2025-05-12 00:22:25 发布
最新推荐文章于 2025-05-12 00:22:25 发布
阅读量572 收藏
点赞数 1
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fajing_feiyue/article/details/144790445
版权

通过在iptables DOCKER-USER 添加规则禁止特定端口访问,主要是有两个点
1.添加 DOCKER-USER 链添加
2.禁止端口是映射到容器端口

假如起一个mysql镜像,暴露在宿主机的端口为9000,容器实际使用为3306端口,这个时候,应该禁止3306端口。

iptables -I DOCKER-USER  -p tcp --dport 3306 -j DROP
iptables -I DOCKER-USER  -s 10.11.105.236 -p tcp --dport 3306 -j ACCEPT
筏镜
关注
iptables限制宿主机跟Docker IP和端口访问(安全整改)
m0_66406345的博客
04-05 2924
您可以结合使用-s或--src-range与-d或--dst-range一起控制连续源地址和连续目标地址。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。#注意拒绝其他所有IP地址进行访问,此规则因该在其他规则之前执行,以确保其生效。整改:对端口限制,只允许平台服务器的网段对该端口进行访问,其余都拒绝。,请在DOCKER-USER过滤器链的顶部插入一个否定的规则。
iptables限制Docker IP和端口访问
SpringLei
07-25 1万+
等保整改安全加固时,使用iptabels限制docker端口不生效,限制docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptablesDOCKER-USER链做限制。...............
iptables禁用docker暴露的端口
先拙的博客
01-30 6693
分析 Docker容器启动防火墙上的变动 如果暴露本机端口,在nat表的DOCKER链上增加一条规则DNAT tcp -- !<docker-network> 0.0.0.0/0 0.0.0.0/0 tcp dpt:<dest port> to:<new address>:<new port>。可以通过命令sudo iptables -t nat...
配置iptables禁止docker容器暴露的host的端口
先拙的博客
06-06 5190
在Chain DOCKER-USER 中增加配置,禁止192.168.1.0/24网段的访问可按照如下配置 iptables -I DOCKER-USER -s 192.168.1.0/24 -j DROP
通过iptables限制docker容器端口
06-24 2278
如何限制docker暴露的对外访问端口 docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。 # 查询DOCKER表并显示规则编号 iptables -L DOCKER -n --line-number # 修改对应编号的iptables 规则,这里添加了允许访问ip的限制...
iptables限制docker端口禁止某台主机访问(使用DOCKER链和raw表的PREROUTING链)
qq_42249813的博客
10-28 1168
两种方法使用iptables拦截筛选docker映射出来的端口
docker_iptables:帮助手动管理 Docker 容器iptables 端口映射的实用程序
06-11
该脚本旨在手动处理 Docker iptables 端口转发,适用于您无法让 Docker 自行管理 iptables 的情况,因为它与系统上也尝试管理 iptables 的其他事物发生冲突。 用法 假设/先决条件: systemd是您的 init,容器将由 ...
解决docker指定udp端口号的问题
01-08
docker启动容器时会指定访问端口,可以通过多个-p指定多个端口映射。 udp在后台会有一个自己的端口号,区别于服务访问的端口号,这时就需要启动服务时候来指定一下了。 如: docker run -p 8080:8090 -p 10000:...
Docker之轨迹】为正在运行中的容器动态添加端口映射(使用 iptables,附删除 iptables 规则)
Ice__Clean的博客
10-06 1597
需求 docker 中为容器添加端口映射只能在启动容器时(即 run)添加,而一旦启动完毕后,docker 就不再提供端口映射的功能,那我们可以绕开 docker,自己手动添加吗?答案是可以的! 一番查找后,我了解到 docker 添加端口映射实际上是基于 iptables 实现的,所以只要修改里边的映射规则,就可以作用到 docker 容器上了,步骤如下: ① 获取容器 IP 可以进入到容器,通过 ifconfig 拿到容器的 IP 地址,如下: 当然,如果有为容器固定 IP 地址的,话也可以直接用那.
Docker动态给容器Container暴露端口操作
01-08
查看Container的IP地址 docker inspect | grep IPAddress 查看Container的映射的端口 docker port eg. docker port d8dac7399647 docker port hfq-jedi-zxf-eden 用iptables查看容器映射情况 iptables -t nat -nvL iptables -t nat -nvL –line-number 举例新增端口的映射 ##将主机31101 映射到 容器 6379端口 ipt
Docker通过iptables限制端口
2301_76251885的博客
11-07 731
后续就走到filter链input表,docker间互相访问的话需放行所以就不需要在input里面配置白名单,或者拦截规则。放行外网指定Ip的话,首先走的还是nat链PREROUTING表,然后走docker表的,因为是外网访问,所以跳过第一条规则,后面匹配对应的容器端口进行转发,走到filter链forward表。因为是-i所以插入到foward链头部,所有先执行drop,后执行accept,这样白名单Ip请求进来时,会匹配到第一条规则,则放行,其他Ip请求进来时,匹配到第二条规则,直接拒绝访问。
docker 禁止修改iptables_Docker 学习笔记2 安装及一些问题处理
weixin_39669638的博客
11-20 245
一、简介docker是一个开源的应用容器,基于Go语言(Apache2.0)。Docker可以让开发者打包应用及依赖到一个轻量级、可移植的窗口中,然后发布到任何流行的linux机器上,也可以实现虚拟化。窗口是完全使用沙箱机制,相互之间不会有任何接口,性能开销极低。Docker的应用场景:Web应用的自动化打包和发布自动化测试和持续集成、发布在服务型环境中部署和调整数据库或其它的后台应用。从头编译或...
docker 禁止修改iptables_Docker 遇到的异常和注意点
weixin_39530839的博客
11-27 659
点击上方蓝字关注我们笔者整理的一些使用 docker 的时候,遇到的问题和解决办法遇到的一些异常和解决方法1、删除镜像时出现:Error response from daemon: conflict:unable todelete95219df55354 (must beforced) - image isreferenced in multiple repositories可...
docker 限制ip访问端口
coderYJ的博客
12-19 1764
需求限制外网访问 docker的某个服务 经过查找 发现 ubuntu的 ufw 防火墙是无效的技术交流。
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞,解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
使用 iptables 限制 Docker 容器端口访问
最新发布
qq_42895490的博客
05-12 404
Docker 环境中,容器端口映射可能会暴露在宿主机的网络接口上,导致安全隐患。为了加强安全性,我们可以通过配置iptables限制Docker 容器端口的访问。本文将深入探讨如何使用iptables的链来实现这一目标,并解析其默认规则的含义。
iptables配置docker服务端口访问限制
shay的博客
04-05 7740
服务器系统为 CentOS 7 PS:CentOS 7自带iptables,但不自带iptables-services,你有需要可以装,也可以不装,不影响本文的操作和阅读 遇到了一个需求,需要用iptables限制一个redis服务只能由指定的ip访问 似乎不难,于是网上查了一波,首先查到了这个 # 配置IPTABLES iptables -A INPUT -s 允许访问的ip -p tcp --dport 6379 -j ACCEPT iptables -A INPUT -s 允许访问的ip -p tcp
iptables限制docker端口
u013231016的专栏
03-22 1951
前言:在linux上,docker映射了端口,想着对服务端口进行限制指定IP访问,发现在filter表的INPUT链限制无效。最后处理结果如下: 启动docker后,在防火墙上nat表上会自动生成如下配置: -A DOCKER ! -i docker0 -p tcp -m tcp --dport 8010 -j DNAT --to-destination 172.17.0.2:9091 将docker 9091端口映射到本机8010端口,现在需要对8010端口进行限制端口访问 在filter表中
docker运行容器端口
01-24
此参数允许指定要公开的服务端口号以及它应该转发至哪个内部容器端口。 例如,如果想要把宿主机上的 8080 端口映射到正在创建的新容器内的 web 应用程序监听着的第 80 端口,则可以在执行 `docker run` 的时候加入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值