标签：iptables 容器 -- 27017 端口 防火墙 docker 端口映射

解决docker容器开启端口映射后，会自动在防火墙上打开端口的问题(https://www.cnblogs.com/qjfoidnh/p/11567309.html 转自)

 

在docker中运行第三方服务时，通常需要绑定服务端口到本地主机。但使用 -p 参数进行的端口映射，会自动在iptables中建立规则，绕过firewalld，这对于端口级的黑白名单控制管理是很不利的，所以我们需要对iptables进行手动修改。

 

这里以从名为centos.19.09.05的image建立一个容器为例：

首先，如果系统是CentOS7的话，需要关闭自带firewalld防火墙，并切换为iptables.

假设需要将新容器的27017端口映射到主机的27017端口，一般情况下我们使用命令

docker run -idt -p 27017:27017 centos.19.09.05 /bin/bash

在容器中27017端口服务运行起来后，我们在外网使用端口扫描工具，发现本地主机的27017端口已经打开了，而我们还未在防火墙上进行开放操作；此时检查iptabes规则：

iptables --list

发现在Chain DOCKER下多出了一条

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:27017

其中172.17.0.2为该容器在docker网桥中的IP，可见该规则允许任意来源的地址访问27017端口，所以我们需要删除该规则，并替换成安全性更高的规则。

#删除DOCKER链中的1号规则；如果待删除规则不位于第一行，则将数字改为对应行号
iptables -D DOCKER 1

#此容器只接受来自地址123.345.456.567的连接请求
iptables -A DOCKER -s 123.345.456.567 -d 172.17.0.2 -p tcp --sport 27017 -j ACCEPT

再次进行端口扫描，发现27017端口已经关闭，只有IP为123.234.345.456的主机能够连接。

 

---

还有一种更简单的方式。因为docker绕过防火墙的原理是修改了iptables，那不让它修改即可，此方法无需切换默认防火墙。

按照https://blog.csdn.net/qadzhangc/article/details/96140703 所述设置即可，经试验不可省略步骤，否则可能造成容器无法连接外网。

vim /etc/default/docker

#修改文件，此处设置等同于在创建容器时手动指定iptables=false参数
DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 -iptables=false"

vim /etc/docker/daemon.json
{
"iptables": false
}
#此处对更改设置之前创建的容器也有效，编辑后需重启docker服务

对ufw的设置主要是为容器建立起转发，如果容器内的服务不需要访问外网，不做也可以。

firewalld的操作与ufw有些不同

#ubuntu(ufw)操作为
vim /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

#对应centos(firewalld)上操作为：
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -i eth0 -j ACCEPT  #eth0为宿主机网卡名
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD_direct 0 -o eth0 -j ACCEPT
firewall-cmd --reload

ubuntu(ufw):
vim /etc/ufw/before.rules

在`*filter`前面添加下面内容
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE
COMMIT

centos(firewalld):
firewall-cmd --zone=public --add-masquerade #默认docker0在public zone里
firewall-cmd --reload

标签：iptables,容器,--,27017,端口,防火墙,docker,端口映射
来源： https://www.cnblogs.com/zengpeng/p/15407555.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。