这是一个创建于 1095 天前的主题,其中的信息可能已经有所发展或是发生改变。
在日常的部署过程中,为了规避扫描器对于我们服务器的探测,减轻漏洞修复的压力。或者想要防火墙对于中间件等敏感服务进行访问的保护,我们都有需求对于 docker 的端口进行访问控制。然而,在实际配置过程中,大家应该也发现了,在采用端口映射的方式进行端口放开的情况下,直接对于 INPUT 进行规则的配置,是不会生效的。而且,在网络上直接进行搜索,给出的答案往往就是对于 INPUT 进行规则的配置。
因此本文主要就是给出真正能够生效的方案,供大家参考,希望对于大家的实际工作产生帮助:
https://watermelonwater.tech/docker-%e6%9c%8d%e5%8a%a1%e5%a6%82%e4%bd%95%e9%80%8f%e8%bf%87iptables%e6%88%96firewalld%e5%ae%9e%e7%8e%b0%e7%ab%af%e5%8f%a3%e6%8e%a7%e5%88%b6/
 |
1
galtjay OP 欢迎大家留言指教
|
 |
2
hello321 2023 年 4 月 26 日
最近刚好遇到 docker 防火墙问题,感谢😋
|
 |
3
kaedeair 2023 年 4 月 26 日
因为 docker 直接操作 iptables ,并且优先于 firewalld ,所以配置不生效
我的方案是在 daemon.json 里禁用 iptable ,把需要放行的端口在 firewalld 里放行,把需要连接外网的容器加入专门的网段,并且添加该网段到 docker0 的 Masquerading 规则 |
 |
5
julyclyde 2023 年 4 月 26 日
封杀内部扫描,难道是腾讯的么?
|
 |
6
haimianbihdata 2023 年 4 月 29 日 via Android
@kaedeair 最后一点是怎么操作的。不是很懂。
|
|
7
kaedeair 2023 年 4 月 29 日
@haimianbihdata #6 普通的 snat ,除了到 docker0 的都进行伪装
|
Select Language