云计算核心技术Docker教程：Docker操纵iptables规则以

在Linux上，Docker操纵iptables规则以提供网络隔离。尽管这是实现的详细信息，并且您不应修改Docker在iptables策略中插入的规则，如果您想要拥有自己的策略（而不是由Docker管理的策略），它确实会对您需要执行的操作产生一些影响。

如果您在暴露于Inter的主机上运行Docker，则可能需要适当的iptables策略，以防止未经授权访问您主机上运行的容器或其他服务。此页面描述了如何实现此目标以及需要注意的注意事项。

添加iptables政策的规则

Docker安装了两个名为DOCKER-USER和的自定义iptables链DOCKER，它确保始终由这两个链检查传入的数据包。

Docker的所有iptables规则都已添加到DOCKER链中。请勿手动操作此链条。如果您需要添加在Docker规则之前加载的规则，则将它们添加到DOCKER-USER链中。在Docker自动创建任何规则之前，将应用这些规则。

在这些链之后，FORWARD将评估添加到链中的规则（手动添加或通过另一个基于iptables的防火墙）。这意味着，如果您通过Docker公开端口，则无论防火墙配置了什么规则，该端口都会公开。如果您希望即使在通过Docker公开端口时也要应用这些规则，则必须将这些规则添加到 链中。

限制与Docker主机的连接

默认情况下，允许所有外部源IP连接到Docker主机。要仅允许特定的IP或网络访问容器，请在DOCKER-USER过滤器链的顶部插入一个否定的规则。例如，以下规则限制从以下所有IP地址进行的外部访问192.168.1.1

$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP

请注意，您将需要更改ext_if以与主机的实际外部接口相对应。您可以改为允许来自源子网的连接。以下规则仅允许从子网进行访问192.168.1.0/24

$ iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.0/24 -j DROP

，您可以指定要接受的IP地址范围--src-range （请记住-m iprange在使用--src-range或时也要添加--dst-range）

$ iptables -I DOCKER-USER -m iprange -i ext_if ! --src-range 192.168.1.1-192.168.1.3 -j DROP

您可以结合使用-s或--src-range与-d或--dst-range一起控制源和目标。例如，如果Docker守护程序监听 192.168.1.99和10.1.2.3，则可以制定特定于10.1.2.3并保持 192.168.1.99打开的规则。

Docker路由

Docker还将FORWARD链的策略设置为DROP。如果您的Docker主机也充当路由器，这将导致该路由器不再转发任何流量。如果希望系统继续充当路由器，则可以ACCEPT向DOCKER-USER链中添加明确的规则以允许它

$ iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT

防止docker操作iptables

可以在Docker引擎的配置文件中将iptables密钥设置false为/etc/docker/daemon.json，此选项不适用于大多数用户。完全阻止Docker创建iptables规则是不可能的，事后创建规则非常复杂，超出了这些说明的范围。设置iptables为false很有可能会破坏Docker引擎的容器网络。

设置容器的默认绑定地址

默认情况下，Docker守护程序将公开0.0.0.0地址上的端口，即主机上的任何地址。如果要更改该行为以仅公开内部IP地址上的端口，则可以使用该--ip选项指定其他IP地址。，设置--ip仅更改 默认值，它不会将服务限制为该IP。