Docker配置防火墙
2022-04-12 本文已影响0人
袁先生的笔记
背景
常见的Linux防火墙配置在iptables的INPUT链,而Docker容器不经过此链。
在Docker版本v19.03.4后,支持通过DOCKER-USER链配置容器防火墙。
配置方法
# 拒绝3306/tcp端口
iptables -I INPUT -p tcp --dport 3306 -j DROP
# 允许172.17.0.0/16网段
iptables -I DOCKER-USER -s 172.17.0.0/16 -j RETURN
# 查看DOCKER-USER链
iptables -L DOCKER-USER -vn
Chain DOCKER-USER (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 172.17.0.0/16 0.0.0.0/0
977 58362 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 #这条是Docker的