使用docker -p命令映射端口可以灵活的分配端口,比如解决多个docker之间的端口冲突,nat机器指定特殊端口等等,但是同样由于docker的默认配置映射端口同时容器所有到外部网络的连接,源地址都会被 NAT 成本地系统的 IP 地址。此时无论是ufw还是firewalld都无法监控该条规则。

当使用-p 12345:8080 iptables -t nat -nL可以看到,nat表接受了0.0.0.0即所有外部流量,这在一些数据敏感的业务上是比较危险的。

Chain DOCKER (2 references)
target     prot opt source               destination   
RETURN     all  --  0.0.0.0/0            0.0.0.0/0   
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:15684 to:172.17.0.2:8080

网上大部分都在说使用iptables删除该条规则/修改docker的默认配置使其不在运行容器时创建iptables规则,可行是可行但在批量部署时可能会较为耗费时间。

只要在运行容器时将端口映射写成ip:outside_port:inside_port的形式即可做到授权某个访问。例如当使用-p 127.0.0.1:15684:8080时,可将docker内部端口8080映射到本地15684且只授权了本地IP访问docker内部,nat表如下。

Chain DOCKER (2 references)
target     prot opt source               destination   
RETURN     all  --  0.0.0.0/0            0.0.0.0/0   
DNAT       tcp  --  0.0.0.0/0            127.0.0.1            tcp dpt:15684 to:172.17.0.2:8080

如果希望永久绑定到某个授权的 IP 地址,可以在 Docker 配置文件 /etc/docker/daemon.json 中添加如下内容。

{
    "ip":"0.0.0.0"
}

参考:https://yeasy.gitbook.io/docker_practice/advanced_network/port_mapping

最后修改:2022 年 05 月 10 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏