by Devin Yang

建立於: 10個月前 ( 更新: 10個月前 )

首先Docker在Linux的環境下,Docker使用iptables規則來提供網路隔離。
然而在Docker swarm mode的環境下,我們是沒辨法把連接埠開在host的127.0.0.1下的,
這時便可透過iptables中的DOCKER-USER chain來自訂規則囉 。

Docker 安裝了兩個名為 DOCKER-USER 和 DOCKER 的自定義 iptables 鏈,它確保傳入的數據包始終首先由這兩個鏈檢查。

Docker 的所有 iptables 規則都添加到 DOCKER 鏈中。不要手動操作此鏈。

如果您需要添加在 Docker 規則之前加載的規則,

請使用 DOCKER-USER 鏈。這些規則可在 Docker 自動創建的任何規則之前啟用。

例如我的nginx開了port 8081,代表了輸入host的ip,加上port 8081就能存取到該主機了。

cyh3692mbacl   dlaravel_web          replicated   4/4        nginx:latest      *:8081->80/tcp

但其實我更希望是透過HAProyx才可以存取到該主機,而不是使用者開啟host的ip加上port 8081就進行存取,那麼解法就是調整iptables囉 。

我們可以用如下指令先查看見前的規則

iptables -nL DOCKER-USER
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

基本上是完全開放的,我們可以寫個bash如下,請注意,這只是一個示意範例,請依自己的需求自行調整。
在這範例中包含了不同的網段或特定的IP及網卡。

#!/bin/bash
iptables -F DOCKER-USER
#全檔只能用本機的ip存取
iptables -I DOCKER-USER -p tcp -m multiport --dports 8025,8084,30001,30020 -j DROP
#鎖區網在可以連
iptables -I DOCKER-USER -i eno1 ! -s 10.0.0.26 -p tcp -m multiport --dports 8080,8081 -j DROP
iptables -I DOCKER-USER -i eno2 ! -s 192.168.88.0/24 -p tcp -m multiport --dports 3306,2222,1024 -j DROP
iptables -A DOCKER-USER -j RETURN
#列出規則
iptables -nL DOCKER-USER

在開頭 ,我先清除了所有規則

iptables -F DOCKER-USER

其他就不多說了,相信大家用猜的都猜的出來。

 

 

Tags: docker

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

No Comment

Post your comment

需要登入才可留言!

類似的文章


d-laravel,docker

D-Laravel v1.2.1版變更說明(建議更新,必免踩雷)

D-Laravel v1.2.1版修正說明 use GuzzleHttp\Client; 進行post時.出現存取被拒的問題。 如果您是由舊版升級,您可能需調整etc/default-ssl.conf的設定檔 (如果有該檔) 請調整php:9000變更為web:9000,你可以透過執行一次./console secure調整。 docker-compose設定檔部份,PHP-FPM container變更為network_mode: "service:web"...

docker

聞聊我的網路的演變史

聞聊我的網路的演變史。 我的GCP,每月要$46.35美元,目前免費試用餘額還剩$111.05美元, $300元差不多快被我花光了,差不多要搬回自管理的主機了。

docker

如何更新或重建D-Laravel的FPM Image

有時,docker的Image會進行一些修正或加入更多的外掛,我們要如何來更新電腦中的image呢? 非常簡單,使用docker pull [使用的image即可],如果想建立自己的image也是可行的...