ubuntu下使用ufw保護docker容器
docker會默認開啓iptables NAT規則,若是使用-p port:port這種形式暴露端口是得不到ufw的防禦的。linux
由於ufw操做的其實是filter規則鏈,並無提供簡單的操做nat鏈的方案。mongodb
通過一番google以後,終於解決這個問題,現總結以下。docker
兩步走
第一步,禁用docker操做iptables的功能
編輯/etc/default/docker文件,修改DOCKER_OPTS="--iptables=false",等同於給docker啓動參數添加--iptables=false選項,此選項會禁用docker添加iptables規則。post
相關參考文檔:google
http://blog.viktorpetersson.com/post/101707677489/the-dangers-of-ufw-dockerunix
第二步,編輯ufw默認規則鏈
編輯/etc/ufw/before.rules這個文件,在文件末尾追加如下內容:code
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE COMMIT
以後重啓一下ufw規則便可:blog
sudo ufw disable sudo ufw enable
相關參考文檔:ip
以後就能夠經過ufw allow這種形式添加對docker容器的訪問權限了。
如:
docker run -p 27017:27017 mongo # 啓動mongodb服務,並映射到本機的*:27017這個端口上 sudo ufw allow from 114.114.0.0/16 to any port 27017
只容許114.114.0.0/16這個網段的主機訪問本機27017端口(mongodb默認監聽端口)
相關文章
- 1. Ubuntu 18.04 docker 容器使用GPU
- 2. docker容器使用(docker容器命令)
- 3. Ubuntu防火牆ufw-iptables的使用
- 4. win10下完美安裝ubuntu使用docker容器
- 5. 使用TLS證書保護Docker
- 6. Docker守護式容器
- 7. docker(二)docker容器使用
- 8. Docker 容器使用
- 9. Docker使用 - 容器
- 10. docker容器使用
- 更多相關文章...
- • Docker 容器使用 - Docker教程
- • Docker 容器連接 - Docker教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • Docker容器實戰(六) - 容器的隔離與限制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
