by Devin Yang

建立于: 1年前 ( 更新: 1年前 )

首先Docker在Linux的环境下,Docker使用iptables规则来提供网络隔离。
然而在Docker swarm mode的环境下,我们是没辨法把连接埠开在host的127.0.0.1下的,
这时便可透过iptables中的DOCKER-USER chain来自定义规则罗 。

Docker 安装了两个名为 DOCKER-USER 和 DOCKER 的自定义 iptables 链,它确保传入的数据包始终首先由这两个链检查。

Docker 的所有 iptables 规则都添加到 DOCKER 链中。不要手动操作此链。

如果您需要添加在 Docker 规则之前加载的规则,

请使用 DOCKER-USER 链。这些规则可在 Docker 自动创建的任何规则之前激活。

例如我的nginx开了port 8081,代表了输入host的ip,加上port 8081就能访问到该主机了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其实我更希望是透过HAProyx才可以访问到该主机,而不是使用者开启host的ip加上port 8081就进行访问,那么解法就是调整iptables罗 。

我们可以用如下命令先查看见前的规则

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全开放的,我们可以写个bash如下,请注意,这只是一个示意范例,请依自己的需求自行调整。
在这范例中包含了不同的网段或特定的IP及网卡。

#!/bin/bash
iptables -F DOCKER-USER
#全档只能用本地的ip访问
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#锁区网在可以连
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出规则
iptables -nL DOCKER-USER

在开头 ,我先清除了所有规则

iptables -F DOCKER-USER

其他就不多说了,相信大家用猜的都猜的出来。

 

 

Tags: docker

Devin Yang

文章内容无法一一说明,如果您有什么不了解处,欢印提问哦:)

No Comment

Post your comment

需要登入才可留言!

类似文章


openspeedtest,docker,phpenv

用phpenv跑openspeedtest

虽然我们可能会用speedtest之类网站进行上下传的速度的测试,那如果我们想测自己的Server的速度呢?像是用户在别的国家,连到我们的主机速度快慢 ,这时self-hosted的测试工具就很方便啦。最新版本的phpenv在services的yml档中,添加了openspeedtest.yml罗。

docker

ubuntu上安装docker-compose

简单介绍我如何在ubuntu上安装docker-compose. 还满容易的。

docker, api

Swagger介绍

最好的API是使用Swagger工具创建的, 本文介绍如何用docker来运行swagger-ui及editor,让我们创建出可测试的API文档。 在docker的环境,我们可以很轻松的启动swagger编辑器及使用者接口。