Docker配置防火墙

2022-04-12  本文已影响0人  袁先生的笔记

背景

常见的Linux防火墙配置在iptables的INPUT链,而Docker容器不经过此链。
在Docker版本v19.03.4后,支持通过DOCKER-USER链配置容器防火墙。

配置方法

# 拒绝3306/tcp端口
iptables -I INPUT -p tcp --dport 3306 -j DROP

# 允许172.17.0.0/16网段
iptables -I DOCKER-USER -s 172.17.0.0/16 -j RETURN

# 查看DOCKER-USER链
iptables -L DOCKER-USER -vn

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination      
    0     0 RETURN     all  --  *      *       172.17.0.0/16        0.0.0.0/0     
  977 58362 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3306         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            #这条是Docker的
上一篇 下一篇

猜你喜欢

热点阅读