防火墙控制Docker端口开放与关闭_docker 开放端口_张现伟的成长之路的博客

第一种方案

docker容器在创建时会在iptables的INPUT表的DOCKER链下自动创建规则放行端口，为了保证docker启动的每一个容器都能被外界访问（自私!），所以导致firewalld不放行端口也能被外界访问。
Firewalld服务启动时,会将iptables上的规则全部清空，并把firewalld上的防火墙策略规则写入到iptables中，此时docker因为防火墙规则被删除就会不正常，需要重启systemctl restart docker服务来重新刷写防火墙规则到iptables上，所以我们在管理Docker端口时，应该使用iptables防火墙而不是firewalld防火墙服务
首先在docker容器启动时不让它自动在iptables上船舰规则，在docker配置文件中添加 “iptables”: false
[root@localhost ~]#  vi /etc/docker/daemon.json 
"data-root": "/opt/docker",
 "iptables": false
#重启生效
[root@localhost ~]#  systemctl daemon-reload
[root@localhost ~]#  systemctl restart docker
此时我们就可以随便关闭我们不想放行的端口了，做到使用iptables管理Docker容器端口。 
发现以上做法可以屏蔽端口了，但是出现容器不能与宿主机其他服务器通讯，原因是加入了 “iptables”: false后，不能在iptables添加任何规则了，正常来说docker启动时不止是添加几条容器端口开放这么简单，docker容器启动时还需要在nat表添加-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE这些规则，这些规则是处理docker的SNAT地址伪装用的，直白来说就是用来容器内部访问外部网络的。具体含义是将容器网络网段发送到外部的数据包(! -o docker0)伪装成宿主机的ip，就是将数据包的原来的容器ip换成了宿主机ip做了一次snat，没经过源IP地址转换是不能正常通讯的。 
#网络不通
[root@localhost ~]# docker exec  -it tomcat bash 
root@b287f29a1b60:/usr/local/tomcat# ping 172.21.36.43    #另一台宿主机IP
PING 172.21.36.43 (172.21.36.43) 56(84) bytes of data.
--- 172.21.36.43 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 9ms
#iptables规则消失
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
解决方法：
 在docker启动配置中加入配置 
vi /etc/systemd/system/docker.service
[Service]
ExecStartPre=/usr/sbin/iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
ExecStopPost=/usr/sbin/iptables -t nat -D POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
#加载并重启docker
systemctl daemon-reload
systemctl restart docker
#172.17.0.0/16 IP为容器的IP网段，查看容器的IP网段，需要查看容器的网络模式，没指定的话一般为bridge
 
 
 如果容器里使用了不同的网络，每个网络都要开放，没有开放的网络不能与外网通讯
 
 问题解决，
 不过iptables -I INPUT -p tcp --dport 1521 -j DROP
 加入这条规制，本地也无法通过IP访问，所以容器内部要么通过容器名相互访问,要么再加一条允许本地IP访问策略
 iptables -I INPUT -s 172.21.36.67 -t tcp -j ACCEPT 
第二种方案
 
以至于后来我才发现第二种解决办法，看了第二种方案你就会觉得第一种方案有多傻，我们要实现防火墙管理Docker端口，只需要在iptables的filter表的DOCKER-USER链下添加规则即可。 
#只允许10.108.11.178访问容器的1521端口
[root@data dciproject]# iptables -I DOCKER-USER  !  -s  10.108.11.178  -p tcp --dport 1521 -j DROP
[root@data dciproject]# iptables -nL  
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9090
ACCEPT     tcp  --  10.108.11.178        0.0.0.0/0            tcp dpt:1521
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8091
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8085
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9695
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:7001
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8086
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8083
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8089
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:19080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8088
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6379
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22223
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:7443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:7010
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10020
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10010
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:6080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9011
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8082
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:1521
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER-USER  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-1  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Chain DOCKER (5 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.2             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.2          tcp dpt:5000
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.2             tcp dpt:9090
ACCEPT     tcp  --  0.0.0.0/0            10.1.3.2             tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.3             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.3             tcp dpt:1521
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.3             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:8085
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3          tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.4             tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.4             tcp dpt:15675
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.4             tcp dpt:15672
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.4             tcp dpt:5672
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.4             tcp dpt:1883
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.5             tcp dpt:6379
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.6             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.6             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.7             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.8             tcp dpt:19080
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.8             tcp dpt:9191
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.8             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.1.9             tcp dpt:27017
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.9             tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.11            tcp dpt:8000
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.12            tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            10.1.0.13            tcp dpt:5432
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination         
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER-ISOLATION-STAGE-2  all  --  0.0.0.0/0            0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           
Chain DOCKER-ISOLATION-STAGE-2 (5 references)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           
Chain DOCKER-USER (1 references)
target     prot opt source               destination         
DROP       tcp  -- !10.108.11.178        0.0.0.0/0            tcp dpt:1521
RETURN     all  --  0.0.0.0/0            0.0.0.0/0                 
Chain l (0 references)
target     prot opt source               destination         
[root@data dciproject]#
#永久保存iptables规则
[root@data dciproject]# yum install iptables -y && yum install iptables-services -y
[root@data dciproject]# systemctl start iptables.service && systemctl enable iptables.service
[root@data dciproject]#  service iptables save
在docjer启动的时创建的众多链中，DOCKER-USER链优先级最高，用于自定义转发规则，可以限制进入容器的源IP地址：
 iptables -I DOCKER-USER ! -s 10.108.11.178 -p tcp --dport 1521 -j DROP 
其他记录点：docker在启动时是会在iptables上添加规则的，而firewalld服务启动时,会将iptables上的规则全部清空，并把firewalld上的防火墙策略规则写入到iptables中，此时docker因为防火墙规则被删除就会不正常，需要重启systemctl restart docker服务来重新刷写防火墙规则到iptables上，所以我们在管理Docker端口时，应该使用iptables防火墙而不是firewalld防火墙服务。
 参考地址：https://blog.csdn.net/m0_49946916/article/details/109277325 
又引发新的问题
 
按照第二种方案处理后，确实实现了iptables对docker容器的管理，实现了只允许特定IP访问特定容器端口，但又引发新的问题，容器内部之间也无法通过防火墙，这个是我没想到的，还要手动将容器的网段地址添加到DOCKER-USER链中去，才能保证容器内部相互通讯。
 进入容器内部测试，发现网络不通
 
 添加docker容器的网段 
[root@localhost ~]# docker network ls 
NETWORK ID     NAME                     DRIVER    SCOPE
4ac677e2fd2f   bridge                   bridge    local
f28591fefa67   docker-project_default   bridge    local
f32fea4be351   host                     host      local
dc907d235925   none                     null      local
[root@localhost ~]# 
[root@localhost ~]# docker inspect docker-project_default | grep Subnet 
                    "Subnet": "172.18.0.0/16",            #所有docker使用docker-project_default  bridge的网段
[root@localhost ~]# 
放行容器网段访问所有端口 
[root@localhost ~]# iptables -I DOCKER-USER  -p tcp  -s 172.18.0.12/16  -j ACCEPT
[root@localhost ~]# iptables -n -L  DOCKER-USER
Chain DOCKER-USER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  172.18.0.0/16        0.0.0.0/0       #确保容器网络规则在第一位
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           
测试容器访问其他容器端口,成功 
[root@localhost ~]# docker exec  -it tomcat bash 
root@2aedfa874301:/usr/local/tomcat# telnet  postgres 5432
Trying 172.18.0.2...
Connected to postgres.
Escape character is '^]'.
三.Iptables基础命令
 
关闭特定端口 
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT
允许特定IP访问所有端口 
iptables -I INPUT -s 10.108.11.178 -j ACCEPT
允许特定IP访问特定端口 
iptables -I DOCKER-USER !  -s  10.108.11.178  -p tcp --dport 1521 -j DROP
iptables  -t filter -nL --line-number
iptables -D INPUT 1
清空所有规则 
iptables -F
iptables -X
iptables -Z
永久保存规则 
#第一种方案
yum install iptables  iptables-services -y 
systemctl start iptables.service && systemctl enable iptables.service
service iptables save
#第二种方案
iptables-save > /etc/iptables/iptables.rules
iptables–restore < /etc/iptables/iptables.rules
但是这样的话就将系统的所有能力都开放给了Docker容器 
有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能，可以使用–privileged=true来进行开启，如：
docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa
方法二：部分开放 
对于iptables需要的权限进行开放，其它的权限不予开放
--cap-add NET_ADMIN --cap-add N
通过以上命令创建新的镜像文件，run -p参数开放新端口出来；实际使用上不方便。
宿主机(host)上修改iptables 规则，开放容器的响应端口；参考网上的命令
iptables -t nat -A DOCKER -p tcp -dport 8080 -j DNAT --to-destination 172.17.0.2:8080
当我们创建nginx镜像时，并且启动nginx时，我们只能在容器内部区访问n
                                    1.编辑docker.service文件
忘记编辑方法的老铁，可参考： https://blog.csdn.net/leinminna/article/details/97103557
具体命令如下：
vim /usr/lib/systemd/system/docker.service
在ExecStart=/usr/bin/dockerd 后插入  -H tcp://0.0.0.0:2375 -...
CentOS 配置防火墙操作实例（启、停、开、闭端口）：
注：防火墙的基本操作命令：
查询防火墙状态 : [root@localhost ~]# serviceiptables status
停止防火墙 : [root@localhost ~]# serviceiptables stop
启动防火墙 : [root@localhost ~]# serviceiptables start
重启防火墙 ...
                                    参考了文章<win10 Docker 创建Centos7 并使用xshell成功连接>实现了xsheel连接docker，但是docker中的端口在外部不能直接访问。后来搜到简书上的文章<Mac下 Docker 动态添加端口>，但是在"进入screen"步骤失败，一直报错"screen is terminating"，后来参考菜鸟教程上的<Docker commit 命令>，先"docker commit :从容器创建一个新的镜像"，然后执行"docker run ：创建
                                    在Debian系统中，默认没有安装防火墙，可以通过清空防火墙策略，删除相关屏蔽规则。在CentOS 7、Red Hat和Alibaba Cloud Linux 2。3.把attached后台运行的容器转换为前台detached运行模式。说明：[$Iptables]为防火墙策略的备份文件地址。注意：清空策略前，请务必备份防火墙策略。依次执行以下命令，备份防火墙策略。执行以下命令，清空防火墙策略。1.停止运行所有的容器。2.删除正在运行的容器。
 Docker的应用防火墙
SecDocker是一个Go应用程序，充当Docker的防火墙。 它旨在接收去往Docker API /套接字的所有流量，并丢弃包含未授权参数的请求。 您可以提供规则和规范以及适用于每个请求的一般限制，并在到达Docker守护程序时修改流量。
 该应用程序旨在透明地运行。 为了正常工作，您必须将流量重定向到此工具，而无需对其进行修改。 最简单的方法（特别是在测试环境中）是使用iptables 。
 sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 2376 -j REDIRECT --to-port 8999
 将外部流量重定向到SecDocker
回购中提供了一个示例配置文件config.yml
 配置文件具有以下字段：
要加载的插件列表