by Devin Yang

建立於: 2年前 ( 更新: 2年前 )

首先Docker在Linux的環境下,Docker使用iptables規則來提供網路隔離。
然而在Docker swarm mode的環境下,我們是沒辨法把連接埠開在host的127.0.0.1下的,
這時便可透過iptables中的DOCKER-USER chain來自訂規則囉 。

Docker 安裝了兩個名為 DOCKER-USER 和 DOCKER 的自定義 iptables 鏈,它確保傳入的數據包始終首先由這兩個鏈檢查。

Docker 的所有 iptables 規則都添加到 DOCKER 鏈中。不要手動操作此鏈。

如果您需要添加在 Docker 規則之前加載的規則,

請使用 DOCKER-USER 鏈。這些規則可在 Docker 自動創建的任何規則之前啟用。

例如我的nginx開了port 8081,代表了輸入host的ip,加上port 8081就能存取到該主機了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其實我更希望是透過HAProyx才可以存取到該主機,而不是使用者開啟host的ip加上port 8081就進行存取,那麼解法就是調整iptables囉 。

我們可以用如下指令先查看見前的規則

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全開放的,我們可以寫個bash如下,請注意,這只是一個示意範例,請依自己的需求自行調整。
在這範例中包含了不同的網段或特定的IP及網卡。

#!/bin/bash
iptables -F DOCKER-USER
#全檔只能用本機的ip存取
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#鎖區網在可以連
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出規則
iptables -nL DOCKER-USER

在開頭 ,我先清除了所有規則

iptables -F DOCKER-USER

其他就不多說了,相信大家用猜的都猜的出來。

 

 

Tags: docker

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

No Comment

Post your comment

需要登入才可留言!

類似的文章


php,docker,dlaravel

我建立的phpenv容器環境簡單介紹

沒時間拍介紹影片,我就來隨便抓些畫面介紹我使用的容器環境deviny/phpenv。https://github.com/DevinY/phpenvphpenv算是我之前D-Laravel開源專案的進化版本,概念上延用了很多Dlaravel的操作方式。容器的更新上偏向使用者自行控制去Build自己的image,所以我不太會去更動版號了,其實D-Laravel的php版號,好像我也很久沒動啦:p 

docker,laravel

[D-Laravel]./console node

進行Laravel開發時,有時我們會需要透過npm安裝nodejs的套件,但是偏偏我們系統中的Node又不夠新。 或許因某些因素沒法升級,例如要跑舊版的nodejs程式等。 其實我們可以透過簡單的指令,用docker,讓我們就能使用最新版本的node image來掛載host端的/sites資料夾囉。 這麼一來我們就可以隨時執行新版本的npm指令啦。

docker

Docker防毒攻略

最近剛看玩延禧攻略,就想來介紹個MacOS掃毒攻略。 這篇文章,教大家用如何用Docker搞定MacOS掃毒。 簡單介紹,我們如何透過docker使用防毒軟體掃毒。 這裡假定目前我的目錄是在我的家目錄中,所以${PWD}就是目前的所在目錄,會被掛載到container內的scan資料夾。 所以,使用clamscan -r /scan/,時就能掃描所有的擋案囉,加上-r的參數會使用遞迴的方式一層一層的進入子目錄掃描。