by Devin Yang

建立于: 2年前 ( 更新: 2年前 )

首先Docker在Linux的环境下,Docker使用iptables规则来提供网络隔离。
然而在Docker swarm mode的环境下,我们是没辨法把连接埠开在host的127.0.0.1下的,
这时便可透过iptables中的DOCKER-USER chain来自定义规则罗 。

Docker 安装了两个名为 DOCKER-USER 和 DOCKER 的自定义 iptables 链,它确保传入的数据包始终首先由这两个链检查。

Docker 的所有 iptables 规则都添加到 DOCKER 链中。不要手动操作此链。

如果您需要添加在 Docker 规则之前加载的规则,

请使用 DOCKER-USER 链。这些规则可在 Docker 自动创建的任何规则之前激活。

例如我的nginx开了port 8081,代表了输入host的ip,加上port 8081就能访问到该主机了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其实我更希望是透过HAProyx才可以访问到该主机,而不是使用者开启host的ip加上port 8081就进行访问,那么解法就是调整iptables罗 。

我们可以用如下命令先查看见前的规则

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全开放的,我们可以写个bash如下,请注意,这只是一个示意范例,请依自己的需求自行调整。
在这范例中包含了不同的网段或特定的IP及网卡。

#!/bin/bash
iptables -F DOCKER-USER
#全档只能用本地的ip访问
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#锁区网在可以连
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出规则
iptables -nL DOCKER-USER

在开头 ,我先清除了所有规则

iptables -F DOCKER-USER

其他就不多说了,相信大家用猜的都猜的出来。

 

 

Tags: docker

Devin Yang

文章内容无法一一说明,如果您有什么不了解处,欢印提问哦:)

No Comment

Post your comment

需要登入才可留言!

类似文章


docker,phpenv

在Linux上ping不到host.docker.internal

可用docker version检查,确认版本在Docker v20.10+即可添加extra_hosts如下:

docker,goaccess,config

phpenv实战GoAccess即实网站解析(docker版)

在开始前我先说一下,GoAcess也能产出静态数据只要您有log,因为我觉的即时感觉比较炫,所以本文将专注在GoAccess即时显示的部分进行介绍。虽然Google Analytics(GA)很好用,但试试另一种GA感觉也很不错,例如您想了解网站使用者用什么浏览器访网站。

docker,laravel

用Docker创建Lravel开发环境超简单

Laravel 5.5系统环境您准备好了吗? laravel/framework 5.5.x-dev requires php >=7.0 -> your PHP version (5.6.30) does not satisfy that requirement. 这篇文章描述如何使用Docker创建Laravel的开发环境。 有了简单到爆炸的D-Laravel简易bash, 不要在说我无法创建Laravel的开发环境了。