Docker网络常用防火墙设置
- 实现目的和效果
1:LINUX系统服务器上部署的docker服务,可以通过防火墙设置实现不同网段容器互访
2:通过NPM反代容器内网IP,关闭不必须开放的外部端口,添加防火墙策略,最大限度规避censys、fofa等爬虫的信息搜集
3:Docker或者Docker compoes部署容器的网络设置
- 实现方法
1:模拟场景1:Debian11系统安装了多个docker容器服务,Docker或者Docker compose部署在不同的内网网段(172.17.0.0/16、172.18.0.0/16)
sudo iptables -L FORWARD --line-numbers 查询防火墙配置信息
sudo iptables -I FORWARD -s 172.17.0.0/16 -d 172.18.0.0/16 -j ACCEPT 添加防火墙规则1
sudo iptables -I FORWARD -s 172.18.0.0/16 -d 172.17.0.0/16 -j ACCEPT 添加防火墙规则2
sudo apt-get install iptables-persistent 安装iptables-persistent实现系统重启后自动加载备份的防火墙配置
sudo iptables-legacy-save > /etc/iptables/rules.v4 保存防火墙配置信息删除更改的规则可以输入:
sudo iptables -D FORWARD -s 172.17.0.0/16 -d 172.18.0.0/16 -j ACCEPT
sudo iptables -D FORWARD -s 172.18.0.0/16 -d 172.17.0.0/16 -j ACCEPT
sudo iptables-legacy-save > /etc/iptables/rules.v42:添加防火墙策略
模拟场景1:Debian11系统安装了多个docker容器服务、npm反代、域名套cloudflare CDN
按照censys爬虫官网发布的屏蔽说明
https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection(ip网段、用户代理描述)
从Cloudflare端和服务器侧都设置屏蔽规则:
Cloudflare端:
在对应域名的 安全性-WAF-工具 菜单下添加阻止censys爬虫的IP和用户代理
162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
199.45.154.0/24
199.45.155.0/24
206.168.34.0/24
2602:80d:1000:b0cc:e::/80
2620:96:e000:b0cc:e::/80
2602:80d:1003::/112
2602:80d:1004::/112
Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
服务器侧:
添加防火墙设置
sudo iptables -A INPUT -s 162.142.125.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.138.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.145.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.146.0/24 -j DROP
sudo iptables -A INPUT -s 167.248.133.0/24 -j DROP
sudo iptables -A INPUT -s 199.45.154.0/24 -j DROP
sudo iptables -A INPUT -s 199.45.155.0/24 -j DROP
sudo iptables -A INPUT -s 206.168.34.0/24 -j DROP
sudo ip6tables -A INPUT -s 2602:80d:1000:b0cc:e::/80 -j DROP
sudo ip6tables -A INPUT -s 2620:96:e000:b0cc:e::/80 -j DROP
sudo apt-get install iptables-persistent
sudo iptables-legacy-save > /etc/iptables/rules.v4 保存IPV4防火墙配置
sudo iptables-legacy-save > /etc/iptables/rules.v6 保存IPV6防火墙配置
sudo iptables -L -v -n 查看IPV4防火墙规则配置是否已添加
sudo ip6tables -L -v -n 查看IPV6防火墙规则配置是否已添加通过修改NPM项目nginx的配置文件,屏蔽censys爬虫的访问:
if ($http_user_agent ~* "^(?=.*censys)") {
return 403;
}关闭服务器不必须开放的外部端口:
查询服务器端口开放和转发情况
sudo iptables-save防火墙的4个链规则
INPUT:处理进入服务器的流量,控制外部主机如何访问本机。
OUTPUT:处理从服务器发出的流量,控制本机如何访问外部主机。
FORWARD:处理路由流量,控制经过本机的流量(不适用于本机的流量)。
nat:处理地址转换和端口转发,适用于改变数据包的目的地址或源地址。因为DNAT防火墙规则优先于iptables防火墙规则,如果要关闭Debian系统的外部端口需要3步
第一步:设置DNAT防火墙规则
sudo iptables -t nat -L DOCKER -n -v 查询防火墙端口情况
sudo iptables -t nat -L DOCKER 4 查询第4行的DNAT防火墙规则
sudo iptables -t nat -D DOCKER 4 删除DNAT规则从而阻止外部端口的访问(容器映射外网端口的规则)第二步:设置iptables防火墙规则
sudo iptables -A INPUT -p tcp --dport 外部端口号 -j DROP iptables防火墙设置阻止外部端口的访问第三步:保存DNAT和iptables防火墙规则的修改
sudo apt-get install iptables-persistent 下载iptables-persistent,可以重启后防火墙配置不丢失
sudo iptables-legacy-save > /etc/iptables/rules.v4 保存ipv4防火墙配置另外如果要删除之前的防火墙设置:
sudo iptables -D INPUT -p tcp --dport 外部端口号 -j DROP
sudo iptables -t nat -A DOCKER -p tcp --dport 外部端口号 ! -i 内网网络号 -j DNAT --to-destination 内网IP:内网端口3.docker和docker compose 网络设置
docker 网络有3个模式:Bridge、host、none,默认模式是Bridge
Bridge默认模式
docker run -d --name my_container nginxhost模式
docker run --network host -d nginxnone默认模式
docker run --network none -d nginx查询Docker网络命令
docker network ls查询指定Docker网络容器的IP
docker inspect <container_id> | grep "IPAddress"如果是Docker compose 多容器配置模式的网络,则以docker-compose.yml配置文件所在目录名做为网络项目名的前缀
services:
nginx:
image: nginx
ports:
- "外部端口:80"
restart: always
environment:
- TZ=Asia/Shanghai
volumes:
- ./www:/var/www/html
- ./nginx:/etc/nginx/conf.d
- ./logs:/var/log/nginx
depends_on:
- php
networks:
- web
php:
build: php
restart: always
expose:
- "7000"
volumes:
- ./www:/var/www/html
environment:
- TZ=Asia/Shanghai
depends_on:
- mysql
networks:
- web
mysql:
image: mysql:5.7
restart: always
environment:
- TZ=Asia/Shanghai
expose:
- "4406"
volumes:
- ./mysql/data:/var/lib/mysql
- ./mysql/logs:/var/log/mysql
- ./mysql/conf:/etc/mysql/conf.d
env_file:
- mysql.env
networks:
- web
networks:
web:假设docker-compose.yml是放在服务器的www文件夹下面,则这个网络项目名为:www_web,属于Bridge模式,新增的www_web与系统默认的docker0(默认是172.17.0.0/16网段)不在同一个内网网段,docker-compose.yml可以用
network_mode: "bridge"使用系统默认网段分配内网IP,但是不能指定内网IP。
总结:
通过配置iptables规则,实现不同网段容器间的互访。Nginx Proxy Manager反代内网IP,并通过防火墙策略减少外部端口暴露,增强安全性。结合Cloudflare WAF和服务器端iptables,有效阻止Censys等爬虫的扫描。Docker支持bridge、host、none三种网络模式,默认bridge模式适合大多数场景。Docker Compose可通过network_mode指定网络类型。最终实现安全、高效的容器间通信和外部访问控制。