Docker与iptables防火墙

2019-12-03

字数统计: 395字 | 阅读时长≈ 1分

假设已有服务器已经配置了iptables，这个时候安装并运行docker容器后，docker会自动向iptables添加 FORWARD规则来实现与宿主机的网络通信。

一旦不小心，直接在iptables中新开放了端口操作，重载iptables规则后，docker添加的规则会被覆盖，这就导致了docker服务的网络异常。怎么解决？

开启内核转发

1 2	$ sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1

1. 首先要在防火墙配置文件里面添加docker FORWARD规则

iptables需要允许docker转发及容器间通信

#Docker
iptables -A FORWARD -i docker0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o docker0 -j ACCEPT
iptables -A FORWARD -i docker0 -o docker0 -j ACCEPT

#允许bridge网络容器访问外网
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -o eth0 -j MASQUERADE

注：如果有多个自定义网络，容器访问外网同样需要配置masquerade

2. 修改docker服务启动配置

其次, ，在docker启动配置中，把docker自定义iptables规则移除

1
2
3

# 通过此命令获取docker systemd的启动配置文件，接下来要修改
$ systemctl status docker
/usr/lib/systemd/system/docker.service

vim /usr/lib/systemd/system/docker.service

1
2

#找到如下行并添加参数：--iptables=false,意思是启动docker的时候不自动向iptables添加规则
ExecStart=/usr/bin/dockerd -H fd:// --iptables=false --containerd=/run/containerd/containerd.sock

3. 重启服务

重载iptables规则
首先stop掉已有容器
重启docker

systemctl daemon-reload && systemctl restart docker
启动docker容器

这个时候，在iptables中再开启端口的时候，就不怕docker容器服务的网络会出现问题了。

本文作者： GaryWu
本文链接： https://garywu520.github.io/2019/12/03/Docker与iptables防火墙/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true