亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

iptables如何限制宿主機跟Docker IP和端口訪問(安全整改)

 更新時間:2024年10月10日 11:14:29   作者:Leon_start  
本文詳細(xì)介紹了如何通過iptables對網(wǎng)絡(luò)訪問進(jìn)行限制,包括限制特定IP或網(wǎng)段訪問特定服務(wù),以及在Docker環(huán)境下,如何設(shè)置DOCKER-USER鏈限制IP和端口訪問,確保網(wǎng)絡(luò)安全

一、常用命令

查看版本:
[root@iptables-server ~]# iptables -V 
iptables v1.4.21
配置文件:
 /etc/sysconfig/iptables-config 
 /etc/sysconfig/iptables   #記錄規(guī)則文件	

#查看防火墻規(guī)則,顯示規(guī)則行號
[root@iptables-server ~]# iptables -nL --line-number  
##指定行號刪除,需要注意刪除第一條規(guī)則后原來的第二條規(guī)則行號就會變成1,多次執(zhí)行切勿刪錯
[root@iptables-server ~]# iptables -D INPUT 1   
# 規(guī)則保存
[root@iptables-server ~]# iptables-save
# service iptables save
# iptables-save > /etc/sysconfig/iptables
# iptables-restore < /etc/sysconfig/iptables
--參數(shù)解釋
-L:列出一個鏈或所有鏈中的規(guī)則信息
-n:以數(shù)字形式顯示地址、端口等信息
-v:以更詳細(xì)的方式顯示規(guī)則信息
--line-numbers:查看規(guī)則時,顯示規(guī)則的序號(方便之處,通過需要刪除規(guī)則-D INPUT 1
-F:清空所有的規(guī)則(-X是清理自定義的鏈,用的少;-Z清零規(guī)則序號)
-D:刪除鏈內(nèi)指定序號(或內(nèi)容)的一條規(guī)則
-P:為指定的鏈設(shè)置默認(rèn)規(guī)則
-A:在鏈的末尾追加一條規(guī)則
-I:在鏈的開頭(或指定序號)插入一條規(guī)則
-t: 指定表名,默認(rèn)filter表
.... 更多參數(shù)可通過--help查看

二、宿主機網(wǎng)絡(luò)限制

背景:

漏洞掃描發(fā)現(xiàn)任意用戶對目標(biāo)服務(wù)通過訪問URL獲取內(nèi)容或者單純的想要限制/允許某個Ip或者某個網(wǎng)段進(jìn)行訪問

1、任意用戶對目標(biāo)服務(wù)通過訪問URL獲取內(nèi)容

目標(biāo)服務(wù)存在未授權(quán)訪問漏洞,通過訪問URL:http://192.168.180.140:8081/swagger-resources,獲取內(nèi)容如下
[root@xiaoliu ~]# curl -iv http://192.168.180.140:8081/swagger-resources
[root@xiaoliu ~]# curl -I 192.168.180.140:8081
:[{"name":"default","location":"/v2/api-docs","swaggerVersion":"2.0"}]

整改:對端口做限制,只允許平臺服務(wù)器的網(wǎng)段對該端口進(jìn)行訪問,其余都拒絕

#注意拒絕其他所有IP地址進(jìn)行訪問,此規(guī)則因該在其他規(guī)則之前執(zhí)行,以確保其生效

#192.168.180.140
[root@xiaoliu ~]# iptables -I INPUT -p tcp --dport 8081 -j DROP   #這種規(guī)則需要先執(zhí)行
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.57.0/24 -p tcp --dport 8081 -j ACCEPT
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.60.0/24 -p tcp --dport 8081 -j ACCEPT
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.119.0/24 -p tcp --dport 8081 -j ACCEPT

2、允許某個Ip或者某個網(wǎng)段進(jìn)行訪問

[root@xiaoliu ~]# iptables -I INPUT -p tcp --dport 2375 -j DROP
[root@xiaoliu ~]# iptables -I INPUT -s 10.146.119.0/24 -p tcp --dport 2375 -j ACCEPT

三、限制Docker 網(wǎng)絡(luò)IP和端口訪問

背景:

整改安全加固時,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。

經(jīng)查閱大量資料,發(fā)現(xiàn)Docker容器創(chuàng)建時會自動創(chuàng)建iptables策略,Docker使用的i規(guī)則鏈?zhǔn)荄OCKER-USER,所以需使用iptables對DOCKER-USER鏈做限制。

1、同網(wǎng)段只允許負(fù)載均衡機器跟控制主機機器訪問算法服務(wù)器

iptables -I INPUT -p tcp --dport 48002 -j DROP
iptables -I INPUT -s 192.168.180.204 -p tcp --dport 48002 -j ACCEPT
iptables -I INPUT -s 192.168.180.215 -p tcp --dport 48002 -j ACCEPT
##此刻只執(zhí)行上面命令發(fā)現(xiàn)同網(wǎng)段其余機器還是可以訪問該算法的調(diào)用端口,此時需要對容器做限制
iptables -I INPUT -s 192.168.180.0/24 -j DROP
iptables -I INPUT -s 192.168.180.215 -j ACCEPT
iptables -I INPUT -s 192.168.180.204 -j ACCEPT
iptables -I DOCKER-USER -i eno1 -s 192.168.180.215 -p tcp  --dport  48002 -j ACCEPT
iptables -I DOCKER-USER -i eno1 -s 192.168.180.204 -p tcp  --dport  48002 -j ACCEPT

2、限制與Docker主機的連接

默認(rèn)情況下,允許所有外部源IP連接到Docker主機。

要僅允許特定的IP或網(wǎng)絡(luò)訪問容器,請在DOCKER-USER過濾器鏈的頂部插入一個否定的規(guī)則。

#限制除192.168.1.1地址外的其他地址訪問
$ iptables -I DOCKER-USER -i eno1 ! -s 192.168.1.1 -j DROP

#注意:eno1網(wǎng)卡需要按照你的實際情況填寫

#限制除192.168.1.0/24網(wǎng)段外的其他地址訪問
$ iptables -I DOCKER-USER -i eno1 ! -s 192.168.1.0/24 -j DROP

最后,您可以指定要接受的IP地址范圍--src-range (請記住-m iprange在使用--src-range或時也要添加--dst-range):

#限制除192.168.1.1-192.168.1.3外的其他地址訪問
$ iptables -I DOCKER-USER -m iprange -i eno1 ! --src-range 192.168.1.1-192.168.1.3 -j DROP

您可以結(jié)合使用-s或--src-range與-d或--dst-range一起控制連續(xù)源地址和連續(xù)目標(biāo)地址。

例如,如果Docker守護(hù)程序同時監(jiān)聽 192.168.1.99和10.1.2.3,則可以制定特定于10.1.2.3并保持 192.168.1.99打開的規(guī)則。

3、限制docker指定端口訪問策略

禁止所有IP訪問docker的389端口
iptables -I DOCKER-USER -i eth0 -p tcp --dport 389 -j DROP
允許172.27.30.92地址訪問docker的389端口
iptables -I DOCKER-USER -i eth0  -s 172.27.30.92 -p tcp --dport 389 -j ACCEPT

4、DOCKER-USER常用命令

# 查詢DOCKER-USER策略
[root@test ~]# iptables --line -nvL  DOCKER-USER 
Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        8   432 ACCEPT     tcp  --  eth0   *       172.27.30.92         0.0.0.0/0            tcp dpt:389
2       13   740 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:389
3      188 12524 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0  

# 刪除DOCKER-USER策略
# 刪除DOCKER-USER鏈第一條(num)規(guī)則
[root@test ~]# iptables -D DOCKER-USER 1

# 保存DOCKER-USER策略,默認(rèn)臨時生效
[root@test ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  確定  ]

telnet訪問測試:
[root@zabbix_server ~]# telnet 127.0.0.1 8075
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection timed out

總結(jié)

以上為個人經(jīng)驗,希望能給大家一個參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • 使用Docker搭建MySQL數(shù)據(jù)庫服務(wù)的方法詳解

    使用Docker搭建MySQL數(shù)據(jù)庫服務(wù)的方法詳解

    在現(xiàn)代應(yīng)用程序開發(fā)中,使用數(shù)據(jù)庫是必不可少的,文將介紹如何使用Docker搭建MySQL數(shù)據(jù)庫服務(wù),讓你在本地環(huán)境中快速部署一個MySQL實例,感興趣的可以了解下
    2024-03-03
  • Docker?Kill/Pause/Unpause命令使用與區(qū)別小結(jié)

    Docker?Kill/Pause/Unpause命令使用與區(qū)別小結(jié)

    本文詳細(xì)介紹了Docker中的三個重要命令,kill、pause和unpause,這些命令在管理和操作運行中的容器時非常有用,具有一定的參考價值,感興趣的可以了解一下
    2024-03-03
  • Docker數(shù)據(jù)卷常用操作代碼實例

    Docker數(shù)據(jù)卷常用操作代碼實例

    這篇文章主要介紹了Docker數(shù)據(jù)卷常用操作代碼實例,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2020-10-10
  • docker-compose中的環(huán)境變量問題

    docker-compose中的環(huán)境變量問題

    這篇文章主要介紹了docker-compose中的環(huán)境變量問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • Docker安裝MySQL并使用Navicat連接的操作方法

    Docker安裝MySQL并使用Navicat連接的操作方法

    這篇文章主要介紹了Docker安裝MySQL并使用Navicat連接,本文通過圖文并茂的形式給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2022-09-09
  • Docker進(jìn)入容器運行命令的詳細(xì)指南

    Docker進(jìn)入容器運行命令的詳細(xì)指南

    Docker 是一個開源的容器化平臺,廣泛應(yīng)用于開發(fā)和生產(chǎn)環(huán)境中,它允許開發(fā)者打包應(yīng)用程序及其依賴項到容器中,本文將詳細(xì)介紹如何通過 Docker 進(jìn)入容器內(nèi)部運行命令,探討不同的場景和工具,并提供相關(guān)代碼示例,需要的朋友可以參考下
    2024-11-11
  • docker實現(xiàn)資源清理方式

    docker實現(xiàn)資源清理方式

    這篇文章主要介紹了docker實現(xiàn)資源清理方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-02-02
  • docker創(chuàng)建mongodb容器存儲數(shù)據(jù)步驟詳解

    docker創(chuàng)建mongodb容器存儲數(shù)據(jù)步驟詳解

    這篇文章主要為大家介紹了docker創(chuàng)建mongodb容器存儲數(shù)據(jù)步驟詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-10-10
  • 使用Docker部署前后端分離項目的完整步驟

    使用Docker部署前后端分離項目的完整步驟

    剛剛接觸基礎(chǔ)的運維工作,采用的是docker部署的方式,下面這篇文章主要給大家介紹了關(guān)于使用Docker部署前后端分離項目的相關(guān)資料,文中通過圖文介紹的非常詳細(xì),需要的朋友可以參考下
    2023-01-01
  • docker安裝Redis高可用實現(xiàn)一主二從三哨兵

    docker安裝Redis高可用實現(xiàn)一主二從三哨兵

    redis提供了哨兵模式保證redis實現(xiàn)高可用,本文主要介紹了docker安裝Redis高可用實現(xiàn)一主二從三哨兵,文中通過示例代碼介紹的非常詳細(xì),需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2024-02-02

最新評論