Linux防火墙firewalld不生效,无法拦截Docker映射端口

这篇具有很好参考价值的文章主要介绍了Linux防火墙firewalld不生效,无法拦截Docker映射端口。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问

服务器开放的端口如下:

Linux防火墙firewalld不生效,无法拦截Docker映射端口

可以看出并没有开放8103端口

开放的服务如下:

Linux防火墙firewalld不生效,无法拦截Docker映射端口

也没有开放某三维系统,但可以正常访问

Linux防火墙firewalld不生效,无法拦截Docker映射端口

重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!

执行 systemctl status firewalld 时突然发现了这么一条警告

Linux防火墙firewalld不生效,无法拦截Docker映射端口
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).

firewall启动的时候会删除docker往iptables里面添加的规则,这也就是我们经常在重启firewalld服务后,再重启docker容器时无法启动的原因,此问题可以重启docker服务解决,当然这与我们今天的主题无关。

至此终于找到端口拦截失败的原因,如下:

docker run -p 启动的时候会往iptables里面添加规则,firewall底层是基于iptables的,所以-p参数启动等于在防火墙上打了个洞

因为我是在docker的宿主机上控制端口访问,所以简单粗暴直接让docker不使用iptables,操作如下:

vi /usr/lib/systemd/system/docker.service

在文件中添加 --iptables=false

Linux防火墙firewalld不生效,无法拦截Docker映射端口
systemctl daemon-reload
systemctl restart docker

重启 Docker 搞定!!!

注意:完成上述步骤以及可以采用系统 firewall 控制端口访问,但会出现 docker 容器间无法访问,而且容器内也无法访问外部网络

使用类似 NAT 网络方式使得 docker 可以访问外部网络

firewall-cmd --permanent --zone=public --add-masquerade

谈谈使用该方法解决 docker 无视系统防火墙问题所带来的缺点:容器内无法获取得到客户端的真实 IP,由于是类似 NAT 网络,常常 nginx 日志上记录的是 docker0 网络的子网 IP,对于一些业务无法获取真实 IP 可能不能容忍,看个人的取舍吧。文章来源地址https://www.toymoban.com/news/detail-442732.html

到了这里,关于Linux防火墙firewalld不生效,无法拦截Docker映射端口的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux操作系统:Firewalld防火墙

    Linux操作系统:Firewalld 防火墙 课堂引入: Linux防火墙是通过netfilter来处理的,它是内核级别的框架。iptables被作为netfilter的用户态抽象层,iptables将包通过一系列的规则进行检查,如果包与特定的IP/端口/协议的组合匹配,规则就会被应用到这个包上,以决定包是被通过、拒绝

    2024年02月07日
    浏览(55)
  • linux-firewalld防火墙端口转发

    目的:通过统一地址实现对外同一地址暴露 1.系统配置文件开启 ipv4 端口转发 2.查看防火墙配置端口转发之前的状态 3.开启 IP 伪装 4.添加端口转发 5.重新加载防火墙并进行测试 附:删除端口转发 删除 IP 伪装

    2024年02月20日
    浏览(46)
  • Linux网络——shell编程之firewalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月07日
    浏览(44)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(52)
  • Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过

    2024年02月06日
    浏览(44)
  • Linux:firewalld防火墙-(实验2)-IP伪装与端口转发(4)

    本章实验环境要建立在上一章之上,ip等都是继承上一章,完全在上一章之下的操作 Linux:firewalld防火墙-小环境实验(3)-CSDN博客 https://blog.csdn.net/w14768855/article/details/133996151?spm=1001.2014.3001.5501 👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆

    2024年02月08日
    浏览(61)
  • Firewalld防火墙

    • firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包

    2023年04月09日
    浏览(42)
  • 8.FireWalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也 是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功 能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤

    2024年02月05日
    浏览(51)
  • Firewalld防火墙基础

    目录 一、Firewalld 概述 1.1 Firewalld的简述 1.2 Firewalld 和 iptables的区别 1.3 firewalld的区域 1.3.1 firewalld的9个区域 1.3.2 firewalld的数据处理流向 1.3.3 数据包的规则 二、firewalld的配置 2.1 配置方法 2.1.1Firewall-config图形工具 2.1.2Firewall-cmd命令行工具   2.1.3/etc/firewalld/中的配置文件  2.2 区

    2024年02月04日
    浏览(37)
  • iptables防火墙和Firewalld

    引言 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等,那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢,接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及

    2024年02月01日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包