这个问题是很早之前处理的,我自己已经没有印象了,今天同事拿了一个处理安全的文档来找我,上面赫然出现了我的名字,比较懵逼。。。
这个问题的现象实际上是 docker映射的端口,通过firewalld 防火墙禁用端口不生效,外部还是能访问到,公司在进行安全扫描的时候总是被抓。。。。
在firewalld内部的实现 依赖了一部分 iptables 的基础组件,目前我理解的是 iptables 规则的优先级要高于 firewalld规则。
docker中,默认是使用了 iptables 做网络请求的路由,所以暴露容器端口时会默认 在 filter 路由表中添加 白名单规则。
因此,通过firewalld 禁用的 端口 不生效。
简单点的做法就是 将docker的启动服务 增加 --iptables=false 参数 关闭掉 docker 使用iptables的网络路由。这时候 容器与宿主机之间的交互是可以任意进行的,然后通过firewalld 的规则 ,进行处理 宿主机与外部网络之间的 网络路由关系。
亦或者是分析 filter 网络路由表,删除掉对应的规则,然后重新添加合适的规则进行处理,这样的话,稍微麻烦一点。。。容易头大
标签:iptables,容器,firewall,端口,防火墙,firewalld,规则,Docker,docker From: https://www.cnblogs.com/wag1027/p/18348938