ubuntu下使用ufw保护docker容器
docker会默认开启iptables NAT规则,若是使用-p port:port这种形式暴露端口是得不到ufw的防御的。linux
由于ufw操做的其实是filter规则链,并无提供简单的操做nat链的方案。mongodb
通过一番google以后,终于解决这个问题,现总结以下。docker
两步走
第一步,禁用docker操做iptables的功能
编辑/etc/default/docker文件,修改DOCKER_OPTS="--iptables=false",等同于给docker启动参数添加--iptables=false选项,此选项会禁用docker添加iptables规则。post
相关参考文档:google
http://blog.viktorpetersson.com/post/101707677489/the-dangers-of-ufw-dockerunix
第二步,编辑ufw默认规则链
编辑/etc/ufw/before.rules这个文件,在文件末尾追加如下内容:code
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE COMMIT
以后重启一下ufw规则便可:blog
sudo ufw disable sudo ufw enable
相关参考文档:ip
以后就能够经过ufw allow这种形式添加对docker容器的访问权限了。
如:
docker run -p 27017:27017 mongo # 启动mongodb服务,并映射到本机的*:27017这个端口上 sudo ufw allow from 114.114.0.0/16 to any port 27017
只容许114.114.0.0/16这个网段的主机访问本机27017端口(mongodb默认监听端口)
相关文章
- 1. Ubuntu 18.04 docker 容器使用GPU
- 2. docker容器使用(docker容器命令)
- 3. Ubuntu防火墙ufw-iptables的使用
- 4. win10下完美安装ubuntu使用docker容器
- 5. 使用TLS证书保护Docker
- 6. Docker守护式容器
- 7. docker(二)docker容器使用
- 8. Docker 容器使用
- 9. Docker使用 - 容器
- 10. docker容器使用
- 更多相关文章...
- • Docker 容器使用 - Docker教程
- • Docker 容器连接 - Docker教程
- • Docker容器实战(七) - 容器眼光下的文件系统
- • Docker容器实战(六) - 容器的隔离与限制
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
