docker无视防火墙规则吗?

[复制链接]
查看: 896   回复: 7
发表于 2024-8-6 19:48:35 | 显示全部楼层 |阅读模式
之前处理Ubuntu防火墙的时候一直没搞懂原理,瞎几把操作老是搞烂了,iptable、ufw、firewall一直禁用的,昨天把三个防火墙全删了,然后重新部署了ufw(iptable搞不明白),简单设置了一下,只放21、80、443端口出来。

今天打开Censys搜索自己的ip,发现暴露的还有两个已启用的docker端口? 我~都~惊——呆了,ufw规则里明明没放开这两个端口啊。

经过Google一番搜索才发现,docker默认是无视防火墙规则的,不管是iptable还是ufw又或是firewall,全部无视,所以ip+docker端口是可以直接访问你的docker反代设置的网站……

然后Google结果显示,必须要单独配置iptable的docker转发规则才能填这个坑,否则是关不上的……所以还得学iptable……太屑了docker无视防火墙规则吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

 楼主| 发表于 2024-8-6 19:49:31 | 显示全部楼层
你可以设置容器的时候 端口填127.0.0.1:xxx:xxx
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-8-6 19:49:48 | 显示全部楼层
  1. sudo vim /etc/default/dockerDOCKER_OPTS="--iptables=false"
复制代码
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-8-6 19:50:03 | 显示全部楼层
rootless docker会遵守,
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-8-6 19:50:47 | 显示全部楼层
raw>nat
这个是正规的解决方案docker无视防火墙规则吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-8-6 19:51:20 | 显示全部楼层
要自己写个hook 挂在启动docker 之后。因为docker启动时会自动加防火墙规则
回复 支持 反对

使用道具 举报

发表于 2024-8-6 19:52:07 | 显示全部楼层
对头~  直接绕过防火墙 iptable上会直接加规则。要么映射端口时候加127.0.0.1:  要么
  1. vim /etc/default/ufw#把DEFAULT_FORWARD_POLICY修改成下面这样DEFAULT_FORWARD_POLICY="ACCEPT"vim /etc/default/docker#修改文件DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 -iptables=false"vim /etc/ufw/before.rules在`*filter`前面添加下面内容*nat:POSTROUTING ACCEPT [0:0]-A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADECOMMITvim /etc/docker/daemon.json{"iptables": false}
复制代码
docker无视防火墙规则吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2024-8-6 19:52:40 | 显示全部楼层
ipt里有docker chain了解一下
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则