docker无视防火墙规则吗？

philsilver

之前处理Ubuntu防火墙的时候一直没搞懂原理，瞎几把操作老是搞烂了，iptable、ufw、firewall一直禁用的，昨天把三个防火墙全删了，然后重新部署了ufw（iptable搞不明白），简单设置了一下，只放21、80、443端口出来。

今天打开Censys搜索自己的ip，发现暴露的还有两个已启用的docker端口？ 我~都~惊——呆了，ufw规则里明明没放开这两个端口啊。

经过Google一番搜索才发现，docker默认是无视防火墙规则的，不管是iptable还是ufw又或是firewall，全部无视，所以ip+docker端口是可以直接访问你的docker反代设置的网站……

然后Google结果显示，必须要单独配置iptable的docker转发规则才能填这个坑，否则是关不上的……所以还得学iptable……太屑了

丶Silently

你可以设置容器的时候 端口填127.0.0.1:xxx:xxx

手握键盘

1. 
   
2. sudo vim /etc/default/docker
   
3. DOCKER_OPTS="--iptables=false"
   

复制代码

suantong

rootless docker会遵守，

sdqu

raw>nat
这个是正规的解决方案

kvm.net

要自己写个hook 挂在启动docker 之后。因为docker启动时会自动加防火墙规则

875

对头~  直接绕过防火墙 iptable上会直接加规则。要么映射端口时候加127.0.0.1:  要么

1. vim /etc/default/ufw
   
2. #把DEFAULT_FORWARD_POLICY修改成下面这样
   
3. DEFAULT_FORWARD_POLICY="ACCEPT"
   
4. 
   
5. vim /etc/default/docker
   
6. #修改文件
   
7. DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 -iptables=false"
   
8. 
   
9. vim /etc/ufw/before.rules
   
10. 
    
11. 在`*filter`前面添加下面内容
    
12. *nat
    
13. :POSTROUTING ACCEPT [0:0]
    
14. -A POSTROUTING ! -o docker0 -s 172.17.0.0/16 -j MASQUERADE
    
15. COMMIT
    
16. 
    
17. 
    
18. 
    
19. vim /etc/docker/daemon.json
    
20. {
    
21. "iptables": false
    
22. }
    

复制代码

HOH

ipt里有docker chain了解一下