营销型网站公司排名,开发公司发生的物业费用所得税申报,西安做网站企业,苏州做网站费用关于docker如何通过防火墙做策略限制
1、iptables相关问题
在Iptables防火墙中包含四种常见的表#xff0c;分别是filter、nat、mangle、raw。
filter#xff1a;负责过滤数据包。
filter表可以管理INPUT、OUTPUT、FORWARD链。
nat#xff1a;用于网络地址转换。
nat表…关于docker如何通过防火墙做策略限制
1、iptables相关问题
在Iptables防火墙中包含四种常见的表分别是filter、nat、mangle、raw。
filter负责过滤数据包。
filter表可以管理INPUT、OUTPUT、FORWARD链。
nat用于网络地址转换。
nat表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING链。
mangle修改数据包中的内容例如服务类型、TTL、QOS等等。
mangle表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD链。
raw决定数据包是否被状态跟踪机制处理。
raw表可以管理PREROUTING、OUTPUT链。
4张表的优先级顺序是raw -- mangle -- nat -- filter 在Iptables防火墙中包含五条链数据流向是自上而下的
PREROUTING需要做目的地址转换DNAT的优先走这个表
INPUT流量进入时会经过的链
FORWARD负责流量转发时经过的链
OUTPUT流量离开时会经过的链
POSTROUTING需要做源的地址转换SNAT的优先走这个表 2、Docker部分
查看当前防火墙策略
# itpables -nL 默认是查看filter表中的规则 # iptables -nL -t nat 可以查看nat表中的规则 2.1 进行策略限制
限制192.168.228.129用户访问192.168.228.1288082端口 3、结论
当用户通过外部网络访问docker容器时流量是先经过宿主机然后通过nat转换成一个叫docker0网卡上的ip去访问容器的
因此想要做限制分两步
1、需要先在NAT表上的NAT优先级filterPREROUTING链或者DOCKER链因为docker程序修改了防火墙策略优先将PREROUTING链上的规则转发到自定义的DOCKER链添加一条RETURN策略
2、因为NAT表是做地址转换的无法做过滤所以要在NAT表中添加RETURN策略让匹配到的流量跳过本张表流转到filter表中这样就可以通过filter表中的DROP或REJECT来做限制了。 操作NAT表
# iptables -t nat -I PREROUTING -p tcp -s 192.168.228.129 --dport 8082 -j RETURN
操作filter表
# iptables -A OUTPUT -d 192.168.228.129 --sport 8082 -j DROP
