怎样只允许特定ip访问Docker的服务?
通过iptables限制docker容器端口
方法一:
Docker与iptables (在DOCKER-USER链中处理)
Docker至少会在iptables规则中自动安装两个新链,一个是DOCKER,一个是DOCKER-USER,可以通过如下方式查看
iptables -S -t nat 查看DOCKER链规则
iptables -S 查看DOCKER-USER链规则
随着docker版本不同,可能还会有其他链,但一般来说,我们应该只修改DOCKER-USER链即可。
如果想要对docker端口做访问限制,可以参考如下规则:
#只允许192.168.1.1访问docker的服务,其中ext_if是你机器上的实际网卡名
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP
#只允许网段192.168.1.0/24
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP
#只允许ip范围
iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP
原文链接:
Docker and iptables
https://docs.docker.com/network/iptables/
实战
用如下方式添加多个IP
通过 iptables 规则 对 docker端口 访问 添加 多个IP 白名单,白名单以外的IP都是drop
cat << "EOF" > /usr/local/shell/add-iptables.sh
#!/bin/bash
type -P ipset >/dev/null 2>&1 || yum install ipset -y
iptables -F DOCKER-USER
sleep 1
ipset destroy white_docker_ports
ipset create -exist white_docker_ports hash:net family inet hashsize 1024 maxelem 100000 timeout 0 comment
ipset add -exist white_docker_ports 192.168.1.100 timeout 0 comment "server01"
ipset add -exist white_docker_ports 192.168.1.102 timeout 0 comment "server02"
iptables -I DOCKER-USER -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A DOCKER-USER -i eth0 -p tcp -m set ! --match-set white_docker_ports src -m comment --comment "default whitelist for docker ports" -j DROP
iptables -A DOCKER-USER -j RETURN
EOF
bash /usr/local/shell/add-iptables.sh
#如果需要加INPUT相关的iptables规则,请联系笔者
方法二:(笔者未证实)
Docker加入自定义iptables规则链(新建一个链加在FORWARD中进行处理)
https://www.cnblogs.com/jiftle/p/13821394.html
方法三:(笔者未证实)
iptables禁用docker暴露的端口(在nat表的DOCKER链中处理)
https://blog.csdn.net/u010544187/article/details/86698201
方法四:(可以用,感觉不正规或有潜在风险)
docker 会在iptables上加上自己的转发规则,如果直接在input链上限制端口是没有效果的。这就需要限制docker的转发链上的DOCKER表。
查询DOCKER表并显示规则编号
iptables -L DOCKER -n --line-number
修改对应编号的iptables 规则,这里添加了允许访问ip的限制
iptables -R DOCKER 5 -p tcp -m tcp -s 192.168.1.0/24 --dport 3000 -j ACCEPT
Original: https://www.cnblogs.com/faberbeta/p/16331841.html
Author: 快乐嘉年华
Title: Docker与iptables 只允许特定ip访问Docker的服务 通过iptables限制docker容器端口
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/534439/
转载文章受原作者版权保护。转载请注明原作者出处!