当前位置：首页 > news >正文

docker封禁对外端口映射

news 2026/3/27 11:05:36

docker比linux防火墙规则优先级要高，一旦在docker里面配置了对外服务端口的话在iptable里面封不掉，需要通过下面的方法进行封禁：

这里我的宿主机IP地址是10.5.1.244,docker 内部网络ip段是默认的172.17段的，以下为命令：

注意要先DROP再ACCEPT，即先输入DROP类命令，后输入ACCEPT命令，后续输入的命令在防火墙的规则会更靠上，即更优先生效。

sudo iptables -I DOCKER-USER -p tcp ! -s 10.5.1.244 --dport 3306 -j DROP #非宿主机IP丢弃

sudo iptables -I DOCKER-USER -p tcp -s 172.17.0.0/16 --dport 3306 -j ACCEPT #docker内部ip允许访问

sudo iptables -I DOCKER-USER -p tcp ! -s 10.5.1.244 --dport 6379 -j DROP #非宿主机IP丢弃

sudo iptables -I DOCKER-USER -p tcp -s 172.17.0.0/16 --dport 6379 -j ACCEPT #docker内部ip允许访问

sudo netfilter-persistent save

sudo netfilter-persistent reload

#可以通过下面的命令查看配置结果

sudo iptables -L DOCKER-USER -n --line-numbers

Chain DOCKER-USER (1 references)

num target prot opt source destination

1 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:7555

2 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:8072

3 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:7555

4 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:8072

5 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:6379

6 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:6379

7 ACCEPT 6 -- 172.17.0.0/16 0.0.0.0/0 tcp dpt:3306

8 DROP 6 -- !10.5.1.244 0.0.0.0/0 tcp dpt:3306

9 RETURN 0 -- 0.0.0.0/0 0.0.0.0/0

以上只对重启前的防火墙规则有效，当这台docker宿主机重启以后所有的配置都会丢失，还需要进一步使用其他方法，下面是解决方案。

sudo nano /etc/iptables-rules.sh

创建一个脚本文件，脚本内容如下：

#!/bin/bash# 定义变量
HOST_IP="10.5.1.244"
DOCKER_NETWORK="172.17.0.0/16"
PORTS=(3306 6379 9200 7555 8072)# 循环封禁端口
for PORT in "${PORTS[@]}"; doiptables -I DOCKER-USER -p tcp ! -s "$HOST_IP" --dport "$PORT" -j DROPiptables -I DOCKER-USER -p tcp -s "$DOCKER_NETWORK" --dport "$PORT" -j ACCEPT
done

然后赋予脚本执行权限

sudo chmod +x /etc/iptables-rules.sh

再创建一个服务实现开机自启动执行

sudo nano /etc/systemd/system/iptables-rules.service

服务内容如下：

[Unit]
Description=Load iptables rules after Docker
After=docker.service
Requires=docker.service[Service]
Type=oneshot
ExecStart=/etc/iptables-rules.sh
RemainAfterExit=true[Install]
WantedBy=multi-user.target

然后配置为开机自启动并重启服务器进行规则测试

sudo systemctl daemon-reload
sudo systemctl enable iptables-rules.service
sudo systemctl start iptables-rules.servicereboot

docker封禁对外端口映射

docker比linux防火墙规则优先级要高，一旦在docker里面配置了对外服务端口的话在iptable里面封不掉，需要通过下面的方法进行封禁： 这里我的宿主机IP地址是10.5.1.244,docker 内部网络ip段是默认的172.17段的，以下为命令&#xff1…...

编程日记 2024/6/27 20:20:47

【leetcode系列】567.字符串的排列（滑动窗口）

题目给你两个字符串 s1 和 s2 ，写一个函数来判断 s2 是否包含 s1 的排列。如果是，返回 true ；否则，返回 false 。换句话说，s1 的排列之一是 s2 的子串。示例示例 1： 输入：s1 “ab” s2…...

编程日记 2024/6/27 20:17:44

情感分析方法与实践

第1关：情感分析的基本方法情感分析简介情感分析，又称意见挖掘、倾向性分析等。简单而言，是对带有情感色彩的主观性文本进行分析、处理、归纳和推理的过程。在日常生活中，情感分析的应用非常普遍，下面列举几种常见的…...

编程日记 2024/6/27 20:16:43

迁移学习——CycleGAN

CycleGAN 1.导入需要的包2.数据加载（1）to_img 函数（2）数据加载（3）图像转换 3.随机读取图像进行预处理（1）函数参数（2）数据路径（3）读取文…...

编程日记 2024/6/27 20:15:42

【软件测试】对于测试中的bug，我们真正了解了吗?

目录 1.软件测试的生命周期 1.1.软件测试阶段流程 1.2.各流程的任务 2.什么是bug 2.1.bug的概念 2.2.怎么描述bug 2.3.bug的级别 2.4.bug的生命周期 1.软件测试的生命周期在学习bug前，我们先来学习一下软件测试的生命周期，也就是测试人员进行测…...

编程日记 2024/6/27 20:14:41

Packer-Fuzzer一款好用的前端高效安全扫描工具

★★免责声明★★ 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 1、Packer Fuzzer介绍 Packer Fuzzer是一款针对Webpack…...

编程日记 2024/6/27 20:13:40

解决卸载TabX explorer软件后导致系统文件资源管理器无法正常使用问题

最近安装了最新版本的鲁大师，安装过程中不小心同时安装了捆绑软件TabX explorer。这个软件和系统自带的文件资源管理器很像，最后弹出会员到期才发现，这个不是系统文件资源管理器，是第三方的文件资源管理器，就按正常流程…...

编程日记 2024/6/27 20:11:38

qt for android 使用打包sqlite数据库文件方法

1.在使用sqlite数据库时，先将数据库文件打包，放置在assets中如下图: 将文件放置下android中的assets下的所有文件都会打包在APK中，可以用7zip查看apk文件 2.在qt代码读取数据文件，注意在assets下的文件都是Read-Only，需…...

编程日记 2024/6/27 20:10:37

MYBATIS大于等于、小于等于的写法

mybatis使用的是xml格式的文件。使用>和<号的时候，会存在与xml的标签的规范冲突。需要写成如下形式，否则会报错。第一种写法原符号替换符号 < < < <> > > >& & &…...

编程日记 2024/6/27 20:09:36

基于堆叠长短期记忆网络 Stacked LSTM 预测A股股票价格走势

前言系列专栏:【深度学习：算法项目实战】✨︎ 涉及医疗健康、财经金融、商业零售、食品饮料、运动健身、交通运输、环境科学、社交媒体以及文本和图像处理等诸多领域，讨论了各种复杂的深度神经网络思想，如卷积神经网络、循环神经网络、生成对…...

编程日记 2024/6/27 20:08:35

SpringCloud Alibaba Sentinel基础入门与安装

GitHub地址：https://github.com/alibaba/Sentinel 中文文档：https://sentinelguard.io/zh-cn/docs/introduction.html 下载地址：https://github.com/alibaba/Sentinel/releases Spring Cloud Alibaba 官方说明文档：Spring Clou…...

编程日记 2024/6/27 20:07:34

Arduino IDE下载、安装和配置

文章开始先把我自己网盘里的安装包分享给大家，链接：https://pan.baidu.com/s/1cb2_3m0LnuSKLnWP_YoWPw?pwdwwww 提取码：wwww 里面一个是Arduino IDE的安装包，另一个是即将发布的版本。第一个安装包打开直接按照我的步骤安装就…...

编程日记 2024/6/27 20:06:33

SOBEL图像边缘检测器的设计

本项目使用FPGA设计出SOBEL图像边缘检测器，通过分析项目在使用过程中的工作原理和相关软硬件设计进行分析详细介绍SOBEL图像边缘检测器的设计。资料获取可联系wechat 号：comprehensivable 边缘可定义为图像中灰度发生急剧变化的区域边界,它是图像最基本…...

编程日记 2024/6/27 20:05:32

Day35：2734. 执行字串操作后的字典序最小字符串

Leetcode 2734. 执行字串操作后的字典序最小字符串给你一个仅由小写英文字母组成的字符串 s 。在一步操作中，你可以完成以下行为： 选择 s 的任一非空子字符串，可能是整个字符串，接着将字符串中的每一个字符替换为英文字母表中的前…...

编程日记 2024/6/27 20:04:31

【高考志愿】机械工程

目录一、专业概述二、学科特点三、就业前景四、机械工程学科排名五、专业选择建议高考志愿选择机械工程，这是一个需要深思熟虑的决定，因为它不仅关乎未来的学习和职业发展，更是对自我兴趣和潜能的一次重要考量。一、专业概述机…...

编程日记 2024/6/27 20:03:29

文章目录 ffmpeg安装、配置java运行报错 Cannot run program "ffmpeg" ffmpeg命令mp4转为swf示例 ### ffmpeg -i input.mkv -b:v 600 -c:v libx264 -vf scale1920:1080 -crf 10 -ar 48000 -r 24 output.swfmkv转为swf示例其他文档命令参数简介需要将mp4转换为swf&a…...

编程日记 2024/6/27 20:02:28

论文学习 --- RL Regret-based Defense in Adversarial Reinforcement Learning

前言个人拙见，如果我的理解有问题欢迎讨论 (●′ω`●) 原文链接：https://www.ifaamas.org/Proceedings/aamas2024/pdfs/p2633.pdf 研究背景深度强化学习（Deep Reinforcement Learning, DRL）在复杂和安全关键任务中取得了显著成果，例如自动驾驶。然而，DRL策略容易受…...

编程日记 2024/6/27 20:01:27

【Linux小命令】一文讲清ldd命令及使用场景

一文讲清ldd命令及使用场景前言下面进入正题：ldd命令前言博主今天ubuntu编译go项目出来的一个可执行文件，放centos运行发现居然依赖于XXlib库。然后我一下就想到两个系统库版本不一致，重编。换系统，导项目，配环境……...

编程日记 2024/6/27 20:00:26

自费5K,测评安德迈、小米、希喂三款宠物空气净化器谁才是高性价比之王

最近，家里的猫咪掉毛严重，简直成了一个活生生的蒲公英，家中、空气中各处都弥漫着猫浮毛甚至所有衣物都覆盖着一层厚厚的猫毛。令人难以置信的是，有时我甚至在抠出的眼屎中都能发现夹杂着几根猫毛。真的超级困扰了。但其实最空气中…...

编程日记 2024/6/27 19:59:24

1373. 二叉搜索子树的最大键值和

Problem: 1373. 二叉搜索子树的最大键值和文章目录思路解题方法复杂度Code 思路解决这个问题的关键在于采用深度优先搜索（DFS）策略，并结合树形动态规划的思想。我们需要设计一个递归函数，它不仅能够遍历整棵树，还能…...

编程日记 2024/6/27 19:58:23

Qwen3.5-4B-Claude-Opus惊艳效果：编译原理词法分析器状态转换图生成

Qwen3.5-4B-Claude-Opus惊艳效果：编译原理词法分析器状态转换图生成 1. 模型能力展示：从代码到状态转换图 Qwen3.5-4B-Claude-4.6-Opus-Reasoning-Distilled-GGUF模型在编译原理领域展现了令人惊艳的代码理解与可视化能力。当输入词法分析器代码时&…...

编程新知 2026/3/27 10:15:30

5个技巧让Markdown Viewer成为你的浏览器文档中心

5个技巧让Markdown Viewer成为你的浏览器文档中心【免费下载链接】markdown-viewer Markdown Viewer / Browser Extension 项目地址: https://gitcode.com/gh_mirrors/ma/markdown-viewer 还在为浏览器无法直接预览Markdown文档而烦恼吗？Markdown Viewer浏览…...

编程新知 2026/3/27 9:39:05