docker无视防火墙规则吗？

灌水王 · 发表于 2024-8-6 19:48:35

之前处理Ubuntu防火墙的时候一直没搞懂原理，瞎几把操作老是搞烂了，iptable、ufw、firewall一直禁用的，昨天把三个防火墙全删了，然后重新部署了ufw（iptable搞不明白），简单设置了一下，只放21、80、443端口出来。

今天打开Censys搜索自己的ip，发现暴露的还有两个已启用的docker端口？我~都~惊——呆了，ufw规则里明明没放开这两个端口啊。

经过Google一番搜索才发现，docker默认是无视防火墙规则的，不管是iptable还是ufw又或是firewall，全部无视，所以ip+docker端口是可以直接访问你的docker反代设置的网站……

然后Google结果显示，必须要单独配置iptable的docker转发规则才能填这个坑，否则是关不上的……所以还得学iptable……太屑了 docker无视防火墙规则吗？

灌水王 · 发表于 2024-8-6 19:49:31

你可以设置容器的时候端口填127.0.0.1:xxx:xxx

灌水王 · 发表于 2024-8-6 19:49:48

sudo vim /etc/default/dockerDOCKER_OPTS="--iptables=false"

复制代码

灌水王 · 发表于 2024-8-6 19:50:03

rootless docker会遵守，

灌水王 · 发表于 2024-8-6 19:50:47

raw>nat
这个是正规的解决方案 docker无视防火墙规则吗？

灌水王 · 发表于 2024-8-6 19:51:20

要自己写个hook 挂在启动docker 之后。因为docker启动时会自动加防火墙规则

huyidh · 发表于 2024-8-6 19:52:07

对头~ 直接绕过防火墙 iptable上会直接加规则。要么映射端口时候加127.0.0.1: 要么

vim /etc/default/ufw#把DEFAULT_FORWARD_POLICY修改成下面这样DEFAULT_FORWARD_POLICY="ACCEPT"vim /etc/default/docker#修改文件DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 -iptables=false"vim /etc/ufw/before.rules在`*filter`前面添加下面内容*nat:POSTROUTING ACCEPT [0:0]-A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADECOMMITvim /etc/docker/daemon.json{"iptables": false}

复制代码

灌水王 · 发表于 2024-8-6 19:52:40

ipt里有docker chain了解一下

docker无视防火墙规则吗？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源