在docker中调整iptbles白名单限制访问机器
  devRyPL1fOHO 2023年11月02日 29 0
1.docker默认的流量走向

根据内容大概得知访问容器内的端口是需要通过DOCKER-USER表,因此限制访问容器端口的白名单IP就可以通过在 DOCKER-USER表中添加规则就可以限制其他IP进行访问

2.牛刀小试
[root@localhost docker_iptables]# ls -l                                                             
total 12                                                                                            
-rw-r--r-- 1 root root  197 Aug 18 17:48 iplist_docker                                              
-rw-r--r-- 1 root root 1678 Aug 18 17:40 iptables_docker_user.sh                                    
-rw-r--r-- 1 root root   33 Aug 18 17:35 port_list
  • iplist_docker 存放限制的IP白名单
10.10.8.2/32                                                                                        
10.10.9.2/32
  • port_list 存放允许白名单访问的容器暴露的端口
9092
19848
3306
18848                                                                                               
15672                                                                                               
9090
  • iptables_docker_user.sh 存放生成iptables的脚本命令
iptables -F DOCKER-USER

for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 9092 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 19848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 3306 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 18848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 15672 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -D DOCKER-USER -s $i -p tcp --dport 9090 -j ACCEPT ;done

for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 9092 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 19848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 3306 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 18848 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 15672 -j ACCEPT ;done
for i in `cat iplist_docker`;do iptables -I DOCKER-USER -s $i -p tcp --dport 9090 -j ACCEPT ;done

for i in `cat port_list`;do iptables -D DOCKER-USER -s 0.0.0.0/0 -p tcp --dport $i -j DROP;done
for i in `cat port_list`;do iptables -A DOCKER-USER -s 0.0.0.0/0 -p tcp --dport $i -j DROP;done
  • 执行 iptables_docker_user.sh 脚本可生成的结果
[root@localhost docker_iptables]# iptables -nvL DOCKER-USER
Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       10.10.9.2            0.0.0.0/0            tcp dpt:9092
    0     0 ACCEPT     tcp  --  *      *       10.10.8.2            0.0.0.0/0            tcp dpt:9092
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9092
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:19848
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:18848
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:15672
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9090
3.注意事项

1). 新建容器后DOCKER-USER会新增一条RETURN�的策略在表内最底层,需要将新增容器的访问策略添加到脚本内,执行脚本刷新访问策略 2). DOCKER-USER 只能限制IP访问容器暴露的端口,宿主机的服务无法进行限制,需要通过INPUT进行限制

【版权声明】本文内容来自摩杜云社区用户原创、第三方投稿、转载,内容版权归原作者所有。本网站的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@moduyun.com
  1. 分享:
最后一次编辑于 2023年11月08日 0

暂无评论

推荐阅读
  AuF503R2LPQq   2023年12月23日   112   0   0 创建项目docker创建项目开发效率开发效率Docker
  HJwyUgQ6jyHT   2024年05月17日   35   0   0 IP客户端thinkphp
  7jPfnBIFtnum   2024年05月31日   43   0   0 容器docker云原生
  HJwyUgQ6jyHT   2024年05月31日   34   0   0 dockerwebhook
  zNRyot8onCGb   2024年05月31日   32   0   0 容器sentineldocker
  7jPfnBIFtnum   2024年05月31日   38   0   0 dockergithub
  HJwyUgQ6jyHT   2024年04月19日   52   0   0 dockernodejs
  XvFmPfwXXVTI   2023年12月23日   47   0   0 dockerDocker
  zNRyot8onCGb   2024年04月26日   59   0   0 容器docker服务器
  LJ090R1n8lhs   2023年12月23日   50   0   0 docker示例代码kafkaDockerkafka示例代码
  7jPfnBIFtnum   2024年05月31日   35   0   0 k8sdockerKubernetes
  F36IaJwrKLcw   2023年12月23日   70   0   0 dockerDockerfileDockerfileDocker
  zNRyot8onCGb   2024年05月31日   28   0   0 linuxdocker运维
  zNRyot8onCGb   2024年05月31日   38   0   0 dockerballerinaamp
  Mzl3nCbI2ZCX   2023年12月23日   35   0   0 docker部署架构演进部署架构演进docker运维应用程序运维应用程序
  zNRyot8onCGb   2024年05月31日   39   0   0 dockerballerinaamp
  zNRyot8onCGb   2024年05月31日   37   0   0 容器docker
  Pt9W6AXaya59   2023年12月23日   50   0   0 ubuntuk8sdockerUbuntuk8sdocker
  zNRyot8onCGb   2024年05月31日   30   0   0 容器docker
  zNRyot8onCGb   2024年04月26日   42   0   0 docker服务器运维
devRyPL1fOHO
devRyPL1fOHO
作者其他文章 更多
在docker中调整iptbles白名单限制访问机器

2023-11-02

最新推荐 更多
redis主从+哨兵搭建

2024-06-14

【Apache POI库读取Excel文件,并使用HashMap来存储和检查重复项】

2024-06-14

【缓存技术:内存缓存和数据库缓存】

2024-06-14

Nginx入门 -- 基本数据结构中之ngx_list_t,ngx_queue_t

2024-06-14

解决Redis缓存击穿问题的技术方法

2024-06-14

深入探析Redis常见数据类型及应用场景

2024-06-14

解决 Redis 缓存穿透问题的有效方法

2024-06-14

解决Redis缓存雪崩问题的有效方法

2024-06-14

Redis 过期删除策略与内存淘汰策略的区别及常用命令解析

2024-06-14

Redis的高性能之谜

2024-06-14

解决缓存与数据库的数据一致性问题的终极指南

2024-06-14

深入了解动态规划算法

2024-06-14

CentOS8提高篇20:Centos8实现扩展存储空间

2024-06-14

数据结构与算法概述 -- 数据结构入门第一节

2024-06-14

对插入排序以及内存管理的一些分析

2024-06-14

存储系统进阶路线记录

2024-06-14

V7000存储7块硬盘离线数据恢复成功率分析

2024-06-14

内存泄漏和内存溢出

2024-06-14

NetApp FAS2240-4存储删除文件数据恢复

2024-06-14

当存储无可用空间时无法启动虚拟机

2024-06-14

常用标签
数据数据数据数据javalinuxlinuxpythonCentOSredisJavapython区块链技术区块链信息系统字符串MySQL资讯项目管理mysql教程MySQL