docker 无法把新 run 的容器端口写入 iptables

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 1392 days ago, the information mentioned may be changed or developed.

现在先有的基础上增删改容器,iptables 里的都不会变,理论上上每次 systemctl restart docker 后规则都会重新写入 iptables 然后我尝试手动添加 iptables 规则,但是在重启后规则一样会丢失想到之前这个服务器中了过挖矿的木马,很多文件被 chattr +ia 了,会不会是 iptables 的配置文件也被+ia 了但是半天找不到 iptables 的配置文件地址 OS ubuntu16.04

iptables

Docker

容器

写入

11 replies • 2022-07-08 19:42:11 +08:00

julyclyde

Jul 7, 2022

为什么你觉得理论上 systemctl restart docker 会把规则重新写入 iptables 呢？有什么证据吗？

cloudyi

Jul 7, 2022

修改一下 docker.service
ExecStart=/usr/bin/docker daemon -H fd:// --iptables=false

FenixVu

Jul 8, 2022

@julyclyde 额,那是啥问题,现在故障就是我新起的容器对应的端口没去 iptables 里添加导致访问不到

julyclyde

Jul 8, 2022

@FenixVu 你启动容器的时候用的网络模式是哪种呢？ NAT 吗？
iptables 你添加的是 DNAT 规则吗还是别的什么类型？

FenixVu

Jul 8, 2022

@julyclyde 默认的 bridge

julyclyde

Jul 8, 2022

@FenixVu bridge 按说不需要什么 iptables 规则吧？？

FenixVu

Jul 8, 2022

@julyclyde 我其他的正常的服务器重新 run 的容器都会自动去 lptables 里添加规则

julyclyde

Jul 8, 2022

@FenixVu 其他容器启动的时候添加的 iptables 规则是什么内容呢

FenixVu

Jul 8, 2022

@julyclyde
Chain DOCKER (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:3306
ACCEPT tcp -- 0.0.0.0/0 172.17.0.3 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 172.17.0.4 tcp dpt:5432
ACCEPT tcp -- 0.0.0.0/0 172.17.0.5 tcp dpt:8008
ACCEPT tcp -- 0.0.0.0/0 172.17.0.6 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 172.17.0.7 tcp dpt:8009
ACCEPT tcp -- 0.0.0.0/0 172.17.0.8 tcp dpt:8006
这种啊

FenixVu

Jul 8, 2022

@cloudyi 好像没太有用这个我在官方文档里看到的说是不让 docker 去 iptables 添加规则

julyclyde

Jul 8, 2022

@FenixVu 别用 iptables -L 查看。用 iptables-save 命令查看一下，那才原汁原味