使用容器后 ufw 的防火墙不生效应该怎么办？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Docker Engine Quickstart

› Boot2docker

这是一个创建于 384 天前的主题，其中的信息可能已经有所发展或是发生改变。

限制不了端口了

ufw

防火墙

端口

13 条回复 • 2024-10-10 16:50:04 +08:00

Mar5

2024-10-10 09:35:05 +08:00

可以试试这个 https://github.com/chaifeng/ufw-docker

alanying

2024-10-10 09:35:46 +08:00

@bigshawn 感谢，我看一下

silverwolf

2024-10-10 09:45:49 +08:00

它俩都是直接控制 iptables ，所以谁也管不了谁。docker 端口映射的时候别只写暴露端口号，前面加一个 127.0.0.1: 就不会暴露到外部了。

docker run -p 127.0.0.1:8080:80 nginx

tpxcer

2024-10-10 09:46:51 +08:00

@bigshawn 看起来还是好折腾。

hefish

2024-10-10 09:48:17 +08:00

不想外面访问的端口，为啥要暴露出来啊，是有啥特殊需求吗

Mar5

2024-10-10 09:50:43 +08:00

@tpxcer 别看他逼逼叨叨一大堆，其实就是复制粘贴重启服务就完事儿了。

tpxcer

2024-10-10 11:24:40 +08:00

@bigshawn 原来如此

care

2024-10-10 12:37:20 +08:00

最近因为 debian 12 默认的 nftables ，我也打算去试一下 podman 了

alanying

2024-10-10 13:48:53 +08:00

@bigshawn
@silverwolf
@care

顺道问一下，如果使用 firewalld-cmd 是否就不存在这个问题了？

care

2024-10-10 15:28:07 +08:00

@alanying firewalld-cmd 也仅限 iptables 作为后端，nftables 作为后端的话，firewalld 也还不支持

happyxhw101

2024-10-10 15:47:10 +08:00

最简单的方案：

使用 host 网络
network_mode: host

端口前指定 host ip
ports:
- 192.168.5.1:8080:8080/tcp

复杂的方案：
/etc/docker/daemon.json 中设置 ip
{
"ip": "192.168.5.1"
}
同时 network_mode 要使用 bridge

happyxhw101

2024-10-10 15:48:13 +08:00

@happyxhw101 后面那个和端口前指定 host ip 效果一样

julyclyde

2024-10-10 16:50:04 +08:00

容器连内核都没有，哪来的防火墙？