主页 / server / 问题 / 997412
Accepted
Nick
Asked: 2020-01-03 13:07:01 +0800 CST

iptables 阻止访问转发端口

  • 772

我有安装了几个 docker 容器的服务器。

端口 3306 是一些 docker 容器的转发器。

我想阻止这个端口,但在某种程度上我不会破坏 docker。

我这样做了,
因为只有端口 22 和 80 只是列表中的端口,所有其他端口都应该关闭。

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport    22      -j ACCEPT
iptables -A INPUT -p tcp --dport    80      -j ACCEPT
iptables -A INPUT                           -j DROP

...但是这显然行不通,因为 Docker 在 FORWARD 通道中安装了它的规则。

有什么想法可以轻松解决此问题,而无需“触摸” docker 容器?

iptables

1 个回答

  1. Best Answer

    这是我想出的。

    我所提供的答案并不完全符合问题的要求。它不是阻止访问,而是只允许来自特定 IP 地址的访问,但现在阻止访问是微不足道的。

    https://docs.docker.com/network/iptables/

    文章解释说你可以使用DOCKER-USER链来做这样的事情。Docker 不会以任何方式清除或操纵这条链。

    我的设置如下:(
    注意INPUT_F并且DOCKER-USER_F不是标准链,我定义了它们)

    #!/bin/sh

# Turbo mode
echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle

# Disable ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward
#Enable SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#========================================================

DEV_EXTERNAL=enp2s0

#========================================================

iptables -N INPUT_F
iptables -N HOSTS_ALLOW
iptables -N DOCKER-USER
iptables -N DOCKER-USER_F

#========================================================

iptables -F INPUT
iptables -F INPUT_F
iptables -F HOSTS_ALLOW
iptables -F DOCKER-USER
iptables -F DOCKER-USER_F

#========================================================

iptables -P INPUT   ACCEPT

#========================================================

iptables -A INPUT       -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A DOCKER-USER -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT       -i $DEV_EXTERNAL    -j INPUT_F
iptables -A DOCKER-USER -i $DEV_EXTERNAL    -j DOCKER-USER_F

#========================================================

iptables -A INPUT_F -p tcp --dport  22      -j HOSTS_ALLOW
iptables -A INPUT_F -p tcp --dport  2022    -j ACCEPT

iptables -A INPUT_F                         -j DROP

#========================================================


iptables -A DOCKER-USER_F -p tcp --dport    80  -j ACCEPT
iptables -A DOCKER-USER_F -p tcp --dport    443 -j ACCEPT
iptables -A DOCKER-USER_F                       -j HOSTS_ALLOW

#========================================================

iptables -A HOSTS_ALLOW     -s 199.217.118.213  -j ACCEPT
iptables -A HOSTS_ALLOW     -s 185.154.12.78    -j ACCEPT
iptables -A HOSTS_ALLOW     -s 46.200.74.21     -j ACCEPT
iptables -A HOSTS_ALLOW                         -j DROP

#========================================================

# iptables -L -n -v

# iptables-save > /etc/iptables/iptables.rules

    更新

    我确实做了一些更改,因为我似乎破坏了 docker 容器中的互联网访问。

    • 0

相关问题