【iptables&docker】对运行docker的服务器开启iptables策略

一、背景

在Linux上docker映射了端口，想着对服务端口进行限制指定IP访问，发现在filter表的INPUT链限制无效。

二、 分析

# iptables -L -nv --line-numbers

Chain INPUT (policy ACCEPT 200K packets, 8397K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       192.168.4.200        0.0.0.0/0            tcp dpt:443

Docker容器启动防火墙上的变动，如果暴露本机端口，在nat表的DOCKER链上增加一条规则：

DNAT tcp -- ! 0.0.0.0/0 0.0.0.0/0 tcp dpt: to::

可以通过命令sudo iptables -t nat -nvL DOCKER查看。
通过在nat表增加规则来drop掉所有访问容器暴露端口的连接，最后处理结果如下:

# iptables -L -nv --line-numbers

Chain DOCKER (2 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       192.168.4.202        0.0.0.0/0            tcp
2        3   180 DROP       tcp  --  *      *       192.168.4.200        0.0.0.0/0            tcp
3        2   120 DROP       tcp  --  *      *       192.168.4.200        0.0.0.0/0            tcp dpt:443
4        0     0 ACCEPT     tcp  --  !br-9c0d36154c4e br-9c0d36154c4e  0.0.0.0/0            172.18.0.11          tcp dpt:6379

在Linux上，Docker操纵iptables提供网络隔离的规则。
虽然这是一个实现细节，您不应该修改Docker插入到您的iptables政策，如果你想在Docker管理的政策之外拥有自己的政策，它确实对你需要做的事情有一些影响。
如果您在一台暴露于互联网的主机上运行Docker，那么您可能希望有iptables策略来防止对容器或其他在您的主机上运行的服务的未授权访问。

image.png

Docker安装了两个定制的iptables链，名为DOCKER-USER和DOCKER，它确保传入的数据包总是首先由这两个链检查。

Docker的所有iptables规则都被添加到Docker链中，不要手动操作该链条。
如果您需要添加在Docker规则之前加载的规则，请将它们添加到DOCKER-USER链中。这些规则是在Docker自动创建任何规则之前应用的。

添加到转发链中的规则——无论是手动添加的，还是由另一个基于iptables的防火墙添加的——都会在这些链之后进行评估。这意味着如果您通过Docker暴露一个端口，无论您的防火墙配置了什么规则，该端口都会被暴露。

如果您希望这些规则即使在端口通过Docker暴露时也适用，那么您必须将这些规则添加到DOCKER-USER链中。

三、实例

只允许 192.168.1.101 ~ 192.168.1.103 的主机访问本机的 1~65535/tcp 1~65535/udp。

# cat set_iptables_rules.sh

#!/bin/bash

nic="eth0"

ips="
192.168.1.101
192.168.1.102
192.168.1.103
"

iptables -I DOCKER  -i ${nic} -p tcp --dport 1:65535 -j DROP
iptables -I DOCKER  -i ${nic} -p udp --dport 1:65535 -j DROP

for ip  in ${ips}
do
  iptables -I DOCKER -i ${nic}  -s ${ip} -p tcp --dport 1:65535 -j ACCEPT
  iptables -I DOCKER -i ${nic}  -s ${ip} -p udp --dport 1:65535 -j ACCEPT
done

注：此操作是临时生效，服务器重启失效

四、将iptables策略注册成系统服务，实现开机自启

# setenforce 0

# sed -i 's/^SELINUX=.*/SELINUX=permissive/g'   /etc/selinux/config

# cat /etc/systemd/system/iptables.service

[Unit]
Description=iptables rules service
After=network.target

[Service]
Type=oneshot
ExecStart=/bin/bash   /usr/sbin/set_iptables_rules.sh
ExecStop=/usr/sbin/iptables -P INPUT ACCEPT
ExecStop=/usr/sbin/iptables -F
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

image.png

# cat /usr/sbin/set_iptables_rules.sh

#!/bin/bash

nic="eth0"

ips="
192.168.1.101
192.168.1.102
192.168.1.103
"

iptables -I DOCKER  -i ${nic} -p tcp --dport 1:65535 -j DROP
iptables -I DOCKER  -i ${nic} -p udp --dport 1:65535 -j DROP

for ip  in ${ips}
do
  iptables -I DOCKER -i ${nic}  -s ${ip} -p tcp --dport 1:65535 -j ACCEPT
  iptables -I DOCKER -i ${nic}  -s ${ip} -p udp --dport 1:65535 -j ACCEPT
done

image.png

# systemctl daemon-reload

# systemctl  start   iptables.service

# systemctl  enable  iptables.service

# systemctl  status  iptables.service

image.png

# iptables  -nvL  --line
Chain INPUT (policy ACCEPT 188 packets, 19400 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DOCKER-ISOLATION  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4        0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
5        0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 154 packets, 21532 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  eth0   *       192.168.1.103        0.0.0.0/0            udp dpts:1:65535
2        0     0 ACCEPT     tcp  --  eth0   *       192.168.1.103        0.0.0.0/0            tcp dpts:1:65535
3        0     0 ACCEPT     udp  --  eth0   *       192.168.1.102        0.0.0.0/0            udp dpts:1:65535
4        0     0 ACCEPT     tcp  --  eth0   *       192.168.1.102        0.0.0.0/0            tcp dpts:1:65535
5        0     0 ACCEPT     udp  --  eth0   *       192.168.1.101        0.0.0.0/0            udp dpts:1:65535
6        0     0 ACCEPT     tcp  --  eth0   *       192.168.1.101        0.0.0.0/0            tcp dpts:1:65535
7        0     0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpts:1:65535
8        0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpts:1:65535

Chain DOCKER-ISOLATION (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

# systemctl  stop iptables.service

# iptables -nvL --line

Chain INPUT (policy ACCEPT 27 packets, 2968 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 24 packets, 3141 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (0 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOCKER-ISOLATION (0 references)
num   pkts bytes target     prot opt in     out     source               destination

注意： 对运行docker的主机执行 iptables -F ，会直接清空所有的docker的iptables策略，需要重启docker

五、参考

Docker and iptables
https://docs.docker.com/network/iptables

iptables匹配端口范围，映射，网络状态
http://t.zoukankan.com/Carr-p-7396031.html

iptables阻止了应用连到 容器化的MySQL
https://www.cnblogs.com/shaoyang0123/p/15065439.html

iptables限制docker端口禁止对某台主机进行提供服务
https://blog.csdn.net/qq_50573146/article/details/125833273

iptables限制Docker IP和端口访问
https://blog.csdn.net/yeqinghanwu/article/details/125979997

使用iptables为docker容器配置防火墙策略
https://blog.csdn.net/m0_37814112/article/details/121229022

Linux运维实战总结
https://blog.csdn.net/m0_37814112/category_10867749.html