by Devin Yang

建立於: 1年前 ( 更新: 1年前 )

首先Docker在Linux的環境下,Docker使用iptables規則來提供網路隔離。
然而在Docker swarm mode的環境下,我們是沒辨法把連接埠開在host的127.0.0.1下的,
這時便可透過iptables中的DOCKER-USER chain來自訂規則囉 。

Docker 安裝了兩個名為 DOCKER-USER 和 DOCKER 的自定義 iptables 鏈,它確保傳入的數據包始終首先由這兩個鏈檢查。

Docker 的所有 iptables 規則都添加到 DOCKER 鏈中。不要手動操作此鏈。

如果您需要添加在 Docker 規則之前加載的規則,

請使用 DOCKER-USER 鏈。這些規則可在 Docker 自動創建的任何規則之前啟用。

例如我的nginx開了port 8081,代表了輸入host的ip,加上port 8081就能存取到該主機了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其實我更希望是透過HAProyx才可以存取到該主機,而不是使用者開啟host的ip加上port 8081就進行存取,那麼解法就是調整iptables囉 。

我們可以用如下指令先查看見前的規則

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全開放的,我們可以寫個bash如下,請注意,這只是一個示意範例,請依自己的需求自行調整。
在這範例中包含了不同的網段或特定的IP及網卡。

#!/bin/bash
iptables -F DOCKER-USER
#全檔只能用本機的ip存取
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#鎖區網在可以連
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出規則
iptables -nL DOCKER-USER

在開頭 ,我先清除了所有規則

iptables -F DOCKER-USER

其他就不多說了,相信大家用猜的都猜的出來。

 

 

Tags: docker

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

No Comment

Post your comment

需要登入才可留言!

類似的文章


polymer,docker

D-Laravel預設支援index.html了

D-Laravel的nginx環境設定預設支援index.html了,簡單說 現在除了,可以用D-Laravel跑Laravel的Project,也可以拿來跑其他的Project。 目前Apple的WebKit對Service-Workers已經是in preview了....

docker

如何簡單的用Docker建立internet命令列的測速程式呢?

如何簡單的用Docker建立internet命令列的測速程式呢? 這裡我們使用python的程式speedtest-cli 會用Docker主要的用例,例如我想要在我的NAS內進行測速, 雖然我的NAS內有python,但沒有pip指令,這時用Docker感覺上安全很多, 當然前題您的NAS需能跑Docker:)。 或者,我在MacOS的環境,我不想安裝speedtest-cli到我的MacOS中。 這時用Docker簡單的自建簡單的執行環境還滿不錯的。

docker

關於GCE上FPM image如何變更owner

CCC網站升級php 7.2.0囉,有Docker的環境,輕鬆搞定php升級, 在Linux上Image的變更還是有些注意事項您應該了解。 如果您跟我一樣透過docker將D-Laravel安裝於Linux的系統上,當您變更不同的image時, 或許您可能會碰到,疑!怎麼composer沒有權限寫入資料夾的錯誤。 directory is not writable