标签 网络 下的文章

  • 实现目的和效果

1:LINUX系统服务器上部署的docker服务,可以通过防火墙设置实现不同网段容器互访

2:通过NPM反代容器内网IP,关闭不必须开放的外部端口,添加防火墙策略,最大限度规避censys、fofa等爬虫的信息搜集

3:Docker或者Docker compoes部署容器的网络设置
censys

  • 实现方法

1:模拟场景1:Debian11系统安装了多个docker容器服务,Docker或者Docker compose部署在不同的内网网段(172.17.0.0/16、172.18.0.0/16)

sudo iptables -L FORWARD --line-numbers    查询防火墙配置信息
sudo iptables -I FORWARD -s 172.17.0.0/16 -d 172.18.0.0/16 -j ACCEPT 添加防火墙规则1
sudo iptables -I FORWARD -s 172.18.0.0/16 -d 172.17.0.0/16 -j ACCEPT 添加防火墙规则2
sudo apt-get install iptables-persistent   安装iptables-persistent实现系统重启后自动加载备份的防火墙配置
sudo iptables-legacy-save > /etc/iptables/rules.v4 保存防火墙配置信息

删除更改的规则可以输入:

sudo iptables -D FORWARD -s 172.17.0.0/16 -d 172.18.0.0/16 -j ACCEPT
sudo iptables -D FORWARD -s 172.18.0.0/16 -d 172.17.0.0/16 -j ACCEPT
sudo iptables-legacy-save > /etc/iptables/rules.v4

2:添加防火墙策略
模拟场景1:Debian11系统安装了多个docker容器服务、npm反代、域名套cloudflare CDN
按照censys爬虫官网发布的屏蔽说明
https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection(ip网段、用户代理描述)
从Cloudflare端和服务器侧都设置屏蔽规则:

Cloudflare端:

在对应域名的 安全性-WAF-工具 菜单下添加阻止censys爬虫的IP和用户代理

162.142.125.0/24

167.94.138.0/24

167.94.145.0/24

167.94.146.0/24

167.248.133.0/24

199.45.154.0/24

199.45.155.0/24

206.168.34.0/24

2602:80d:1000:b0cc:e::/80

2620:96:e000:b0cc:e::/80

2602:80d:1003::/112

2602:80d:1004::/112

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

服务器侧:

添加防火墙设置
sudo iptables -A INPUT -s 162.142.125.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.138.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.145.0/24 -j DROP
sudo iptables -A INPUT -s 167.94.146.0/24 -j DROP
sudo iptables -A INPUT -s 167.248.133.0/24 -j DROP
sudo iptables -A INPUT -s 199.45.154.0/24 -j DROP
sudo iptables -A INPUT -s 199.45.155.0/24 -j DROP
sudo iptables -A INPUT -s 206.168.34.0/24 -j DROP
sudo ip6tables -A INPUT -s 2602:80d:1000:b0cc:e::/80 -j DROP
sudo ip6tables -A INPUT -s 2620:96:e000:b0cc:e::/80 -j DROP

sudo apt-get install iptables-persistent
sudo iptables-legacy-save > /etc/iptables/rules.v4      保存IPV4防火墙配置
sudo iptables-legacy-save > /etc/iptables/rules.v6      保存IPV6防火墙配置

sudo iptables -L -v -n       查看IPV4防火墙规则配置是否已添加
sudo ip6tables -L -v -n      查看IPV6防火墙规则配置是否已添加

通过修改NPM项目nginx的配置文件,屏蔽censys爬虫的访问:

if ($http_user_agent ~* "^(?=.*censys)") {
            return 403;
        }

关闭服务器不必须开放的外部端口:
查询服务器端口开放和转发情况

sudo iptables-save

防火墙的4个链规则

INPUT:处理进入服务器的流量,控制外部主机如何访问本机。
OUTPUT:处理从服务器发出的流量,控制本机如何访问外部主机。
FORWARD:处理路由流量,控制经过本机的流量(不适用于本机的流量)。
nat:处理地址转换和端口转发,适用于改变数据包的目的地址或源地址。

因为DNAT防火墙规则优先于iptables防火墙规则,如果要关闭Debian系统的外部端口需要3步
第一步:设置DNAT防火墙规则

sudo iptables -t nat -L DOCKER -n -v        查询防火墙端口情况

sudo iptables -t nat -L DOCKER 4            查询第4行的DNAT防火墙规则

sudo iptables -t nat -D DOCKER 4            删除DNAT规则从而阻止外部端口的访问(容器映射外网端口的规则)

第二步:设置iptables防火墙规则

sudo iptables -A INPUT -p tcp --dport 外部端口号 -j DROP      iptables防火墙设置阻止外部端口的访问

第三步:保存DNAT和iptables防火墙规则的修改

sudo apt-get install iptables-persistent              下载iptables-persistent,可以重启后防火墙配置不丢失
sudo iptables-legacy-save > /etc/iptables/rules.v4    保存ipv4防火墙配置

另外如果要删除之前的防火墙设置:

sudo iptables -D INPUT -p tcp --dport 外部端口号 -j DROP

sudo iptables -t nat -A DOCKER -p tcp --dport 外部端口号 ! -i 内网网络号 -j DNAT --to-destination 内网IP:内网端口

3.docker和docker compose 网络设置
docker 网络有3个模式:Bridge、host、none,默认模式是Bridge

Bridge默认模式
docker run -d --name my_container nginx
host模式
docker run --network host -d nginx
none默认模式
docker run --network none -d nginx

查询Docker网络命令

docker network ls

查询指定Docker网络容器的IP

docker inspect <container_id> | grep "IPAddress"

如果是Docker compose 多容器配置模式的网络,则以docker-compose.yml配置文件所在目录名做为网络项目名的前缀

services:
  nginx:
    image: nginx
    ports:
      - "外部端口:80"   
    restart: always
    environment:
      - TZ=Asia/Shanghai
    volumes:
      - ./www:/var/www/html
      - ./nginx:/etc/nginx/conf.d
      - ./logs:/var/log/nginx
    depends_on:
      - php
    networks:
      - web

  php:
    build: php
    restart: always
    expose:
      - "7000"      
    volumes:
      - ./www:/var/www/html
    environment:
      - TZ=Asia/Shanghai
    depends_on:
      - mysql
    networks:
      - web

  mysql:
    image: mysql:5.7
    restart: always
    environment:
      - TZ=Asia/Shanghai
    expose:
      - "4406"  
    volumes:
      - ./mysql/data:/var/lib/mysql
      - ./mysql/logs:/var/log/mysql
      - ./mysql/conf:/etc/mysql/conf.d
    env_file:
      - mysql.env
    networks:
      - web

networks:
  web:

假设docker-compose.yml是放在服务器的www文件夹下面,则这个网络项目名为:www_web,属于Bridge模式,新增的www_web与系统默认的docker0(默认是172.17.0.0/16网段)不在同一个内网网段,docker-compose.yml可以用

network_mode: "bridge"

使用系统默认网段分配内网IP,但是不能指定内网IP。

总结:
通过配置iptables规则,实现不同网段容器间的互访。Nginx Proxy Manager反代内网IP,并通过防火墙策略减少外部端口暴露,增强安全性。结合Cloudflare WAF和服务器端iptables,有效阻止Censys等爬虫的扫描。Docker支持bridge、host、none三种网络模式,默认bridge模式适合大多数场景。Docker Compose可通过network_mode指定网络类型。最终实现安全、高效的容器间通信和外部访问控制。