当前位置：首页 > news >正文

【Docker】如何在Docker中配置防火墙规则？

news 2026/3/28 7:38:33

Docker本身并不直接管理防火墙规则；它依赖于主机系统的防火墙设置。不过，Docker在启动容器时会自动配置一些iptables规则来管理容器网络流量。如果你需要更细粒度地控制进出容器的流量，你需要在主机系统上配置防火墙规则。以下是如何在Linux主机上使用ufw（Uncomplicated Firewall）或直接通过iptables来配置防火墙规则的方法。
在这里插入图片描述

使用 `ufw` 配置防火墙规则

ufw 是一个用户友好的前端工具，用于管理基于iptables的防火墙规则。它是Ubuntu和其他一些Linux发行版默认安装的防火墙管理工具。

安装 `ufw`

如果你的系统还没有安装ufw，可以通过以下命令安装：

sudo apt-get update
sudo apt-get install ufw

启用 `ufw`

首次使用ufw时，你需要启用它：

sudo ufw enable

允许特定端口

假设你想要允许外部访问运行在Docker容器中的Web服务（如Flask应用），该应用监听的是5000端口，你可以添加如下规则：

sudo ufw allow 5000/tcp

如果你想允许所有TCP流量，可以省略端口号：

sudo ufw allow tcp

拒绝特定端口

如果你之后决定要阻止对某个端口的访问，可以使用deny命令：

sudo ufw deny 5000/tcp

查看当前规则

要查看当前生效的防火墙规则，可以使用：

sudo ufw status verbose

使用 `iptables` 直接配置防火墙规则

对于更复杂的场景或者非ufw支持的系统，可以直接使用iptables命令来配置规则。iptables提供了更强大的功能和灵活性，但它的命令行接口相对复杂一些。

添加规则

例如，要允许外部访问Docker容器暴露的5000端口，可以添加如下规则：

sudo iptables -A INPUT -p tcp --dport 5000 -j ACCEPT

这条规则告诉iptables接受目标端口为5000的所有TCP连接请求。

保存规则

在某些Linux发行版中，iptables规则不会自动保存。为了确保重启后规则仍然有效，你需要保存它们。这通常通过特定的命令完成，具体取决于你的Linux发行版。例如，在Debian/Ubuntu上，你可以使用：

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

对于Red Hat/CentOS，可能会使用service iptables save。

列出规则

要列出当前所有的iptables规则，可以使用：

sudo iptables -L -v -n

Docker与`iptables`

当Docker安装并运行时，它会自动向iptables添加一些规则来处理容器网络。因此，如果你手动修改了iptables规则，可能会影响到Docker的行为。为了避免冲突，建议在配置防火墙规则之前先了解Docker是如何配置iptables的，并尽量避免覆盖Docker添加的规则。

注意事项

测试更改：在生产环境中应用新的防火墙规则之前，最好在一个测试环境中验证这些规则是否按预期工作。
备份规则：在进行任何更改之前，记得备份现有的防火墙规则。
安全性：仔细考虑哪些端口和服务应该对外开放，遵循最小权限原则，只开放必要的服务。

通过上述方法，你可以在Docker所在的主机上配置防火墙规则，以控制进出容器的流量。根据你的具体需求选择合适的工具和策略。

使用 ufw 配置防火墙规则

安装 ufw

启用 ufw