限制Docker仅从特定IP地址公开端口

您的策略是白名单，最好单独创建一个用户自定义chain句柄。

例如，我有一个redis容器，我希望它只用于特定的IP：

$ docker run -d -p 6379:6379 redis:2.8

启动redis容器后，iptables看起来像这样：

$ iptables -t filter -nL
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT  tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:6379

创建我们的自定义链：

$ iptables -N CUSTOM_REDIS
$ iptables -A CUSTOM_REDIS -p tcp --dport 6379 --source 172.31.101.37 --destination 172.17.0.2 -j ACCEPT
$ iptables -A CUSTOM_REDIS -p tcp --dport 6379 --source 172.31.101.38 --destination 172.17.0.2 -j ACCEPT
$ iptables -A CUSTOM_REDIS -p tcp --dport 6379 --source 0.0.0.0/0 --destination 172.17.0.2 -j DROP

用自定义链替换原始规则：

$ iptables -R DOCKER 1 -p tcp --source 0.0.0.0/0 --destination 172.17.0.2 --dport 6379 -j CUSTOM_REDIS

现在我的redis只能通过ip访问：172.31.101.37和172.31.101.38。

注意：

• 172.17.0.2是redis容器的ip

从码头工人指南here：

Docker的转发规则默认允许所有外部源IP。要仅允许特定IP或网络访问容器，请在DOCKER过滤器链的顶部插入否定规则。例如，要限制外部访问以便只有源IP 8.8.8.8可以访问容器，可以添加以下规则：

$ iptables -I DOCKER -i ext_if ! -s 8.8.8.8 -j DROP

在你的情况下，因为你想允许多个IP地址我认为这样的事情应该工作：

iptables -I DOCKER -s EXTERNAL_IP_1 -p tcp --dport PORT_X -j ACCEPT
iptables -I DOCKER -s EXTERNAL_IP_2 -p tcp --dport PORT_X -j ACCEPT
iptables -I DOCKER -s EXTERNAL_IP_3 -p tcp --dport PORT_X -j ACCEPT
iptables -I DOCKER -p tcp --dport PORT_X -j REJECT --reject-with icmp-port-unreachable

我有同样的问题。我用这个规则解决了它：

iptables -I DOCKER-USER -i <your_interface_name> -j DROP
iptables -I DOCKER-USER -i <your_interface_name> -s <your_first_ip> -j ACCEPT
iptables -I DOCKER-USER -i <your_interface_name> -s <your_second_ip> -j ACCEPT

护理，DOCKER-USER是一个链，当service docker restart不会被删除

你应该能够添加你的端口标志，但我不是专家，这不是我的需要。

您可能还希望使用您想要侦听的特定IP直接阻止来自docker的访问，例如-p 1.2.3.4:6379:6379/tcp语法，这样容器将只侦听该IP和接口。

如果您将该IP用作私有IP，则可以完全避免使用iptables，因为您仅限制从本地/专用网络访问。

您可以在docker容器内使用ufw

sudo ufw [--dry-run] [delete] [insert NUM]  allow|deny|reject|limit  [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]][to ADDRESS [port PORT]]