Linux iptables是什么?iptables和docker的关系?

简介: iptables是Linux系统中用来配置防火墙的命令。iptables是工作在TCP/IP的二、三、四层,当主机收到一个数据包后,数据包先在内核空间处理,若发现目标地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目标不是自身,则会将包丢弃或进行转发。

iptables的核心概念

iptables是Linux系统中用来配置防火墙的命令。iptables是工作在TCP/IP的二、三、四层,当主机收到一个数据包后,数据包先在内核空间处理,若发现目标地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目标不是自身,则会将包丢弃或进行转发。

四表:

  • filter(用于过滤)
  • nat(用于 NAT)
  • mangle(用于修改分组数据)
  • raw(用于原始数据包)

最常用的是filter 和 nat。对应下图中的绿色块。

五链:

  • PREROUTING:用于路由判断前所执行的规则,比如,对接收到的数据包进行 DNAT。
  • POSTROUTING:用于路由判断后所执行的规则,比如,对发送或转发的数据包进行 SNAT 或 MASQUERADE。
  • OUTPUT: 类似于 PREROUTING,但只处理从本机发送出去的包。
  • INPUT: 类似于 POSTROUTING,但只处理从本机接收的包。
  • FORWARD

  1. 流入本机:PREROUTING --> INPUT-->用户空间进程
  2. 流出本机:用户空间进程 -->OUTPUT--> POSTROUTING
  3. 转发:PREROUTING --> FORWARD --> POSTROUTING

内网至外网用postrouting SNAT 外网至内网用prerouting DNAT

f69fd249b767449aaceba32742e8b2d7.png下图中白色背景方框,则表示链(chain)

iptables命令

一、链管理:

-N: new 自定义一条新的规则链

-X: delete 删除自定义的空的规则链

-P:policy 设置默认策略

       ACCEPT:接受

       DROP:丢弃

-E:重命名自定义链

二、查看:

-L: list

-n:以数字格式显示地址和端口号

-v:详细信息

三、规则管理:

-A : append 追加

-I:insert 插入

-D:delete 删除

-F:flush 清空指定规则链

-R:replace 替换指定链上的规则编号

-Z: zero :置零


iptables -L 列出规则,默认为filter表的规则。

[root@node100 ~]# iptables  -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain DOCKER (1 references)
target     prot opt source               destination
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

iptables -t nat -L 列出nat表的规则。

[root@node100 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere            !loopback/8           ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        anywhere
Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

iptables中的第一个选项可以是-A, 表明向链(chain)中添加一条新的规则,也可以是-I,表明将新的规则插入到规则集的开头。接下来的参数指定了链。

所谓链就是若干条规则的集合

OUTPUT链它可以控制所有的出站流量(outgoing traffic)。

INPUT链它能够控制所有的入站流量(incoming traffic)。

-d指定了所要匹配的分组目的地址,

-s指定了分组的源地址。

-j指示iptables执行到特定的处理(action)

c683946533c84e569f3c087ec415ee38.png

实战

需求:

在192.168.56.3 上启动一个nginx,暴露8088端口

想要在192.168.56.4 上使用8099访问192.168.56.3 上的nginx服务。使用iptables如何实现?

1、192.168.56.3 拉起nginx服务,并暴露8088端口

11504cb674d34d0393b248718927c2cb.png

2、在192.168.56.4上配置iptables

  • 配置iptables将192.168.56.3  nginx 8088的数据包转发到192.168.56.4的8099端口上
  • 把.192.168.56.3发送到.3:8088的数据包源地址修改为192.168.56.4 的地址。

pre 路由前

post路由后

-j 后跟执行的action

# -j表示iptables要执行的动作; DANT 目的地址转换为 部署的nginx
]# iptables -t nat -A PREROUTING -p tcp --dport 8099 -j DNAT --to 192.168.56.3:8088
# -d指定了所要匹配的分组目的地址,此处应该是可以支持cidr的
]# iptables -t nat -A POSTROUTING -p tcp -d 192.168.56.3 --dport 8088 -j SNAT --to 192.168.56.4

查看iptables nat表

此时访问192.168.56.4:8099 无法看到nginx访问页面。

查看linux主机是否开启了ip转发功能

]# cat /proc/sys/net/ipv4/ip_forward

0

开启主机的转发功能

sysctl -w net.ipv4.ip_forward=1

net.ipv4.ip_forward = 1

成功转发

b870c73559934797aa4af533fdac737a.png流程图:  

iptables和docker的关系?

vagrant拉起一台虚拟机

vagrant up

查看iptables nat表

我们应该关注postrouting链和docker链比较启动nginx前后的对比

启动一个nginx命令

~]#docker run -d -p 8088:80 --name=nginx251 nginx

比较iptables

iptables中的内容均为docker 自动新增的.

解读新增的nat链

nginx容器启动后分别在postrouting 链和docker chain新增了SANT 和DANT。


先解读DANT

DNAT       tcp  --  anywhere             anywhere             tcp dpt:radan-http to:172.17.0.2:80


这个对应的iptables 命令为:

# -j表示iptables要执行的动作; DANT 目的地址转换为 部署在容器中的nginx

]# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 172.17.0.2:80


postroting链新增

MASQUERADE  tcp  --  172.17.0.2           172.17.0.2           tcp dpt:http

这个对应的iptables 命令为:

# -d指定了所要匹配的目的地址, -j执行的action,-j后也可以写成 SNAT --to 10.50.10.251

# Linux 选择默认的出口 IP。这实际上就是经常说的 MASQUERADE

]#iptables -t nat -A POSTROUTING -p tcp -d  172.17.0.2 --dport 80 -j MASQUERADE

如何禁止docker的默认行为-修改 iptables?

--iptables=false

docker启动命令加入如上参数然后关闭默认添加iptables的功能.

参考:

https://www.ichenfu.com/2018/09/09/packet-flow-in-netfilter/


相关实践学习
CentOS 7迁移Anolis OS 7
龙蜥操作系统Anolis OS的体验。Anolis OS 7生态上和依赖管理上保持跟CentOS 7.x兼容,一键式迁移脚本centos2anolis.py。本文为您介绍如何通过AOMS迁移工具实现CentOS 7.x到Anolis OS 7的迁移。
目录
相关文章
|
3月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
237 73
|
1月前
|
消息中间件 Linux RocketMQ
在Red Hat Enterprise Linux 9上使用Docker快速安装并部署
通过以上步骤,你可以在Red Hat Enterprise Linux 9上使用Docker快速安装并部署RocketMQ。这种方法不仅简化了安装过程,还提供了一个灵活的环境来管理和扩展消息队列系统。RocketMQ作为一款高性能的分布式消息系统,通过Docker可以实现快速部署和高效管理。
65 2
|
2月前
|
Linux Docker 容器
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
本篇博客重在讲解Centos安装docker,经博主多次在不同服务器上测试,极其的稳定,尤其是阿里的服务器,一路复制命令畅通无阻。
1385 4
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
|
1月前
|
消息中间件 Linux RocketMQ
在Red Hat Enterprise Linux 9上使用Docker快速安装并部署
通过以上步骤,你可以在Red Hat Enterprise Linux 9上使用Docker快速安装并部署RocketMQ。这种方法不仅简化了安装过程,还提供了一个灵活的环境来管理和扩展消息队列系统。RocketMQ作为一款高性能的分布式消息系统,通过Docker可以实现快速部署和高效管理。
37 3
|
2月前
|
关系型数据库 MySQL Linux
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
331 3
|
2月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
48 1
|
3月前
|
NoSQL 关系型数据库 Redis
mall在linux环境下的部署(基于Docker容器),Docker安装mysql、redis、nginx、rabbitmq、elasticsearch、logstash、kibana、mongo
mall在linux环境下的部署(基于Docker容器),docker安装mysql、redis、nginx、rabbitmq、elasticsearch、logstash、kibana、mongodb、minio详细教程,拉取镜像、运行容器
mall在linux环境下的部署(基于Docker容器),Docker安装mysql、redis、nginx、rabbitmq、elasticsearch、logstash、kibana、mongo
|
3月前
|
Linux Docker 容器
linux之docker命令
linux之docker命令
|
2月前
|
Linux 开发工具 Docker
各个类linux服务器安装docker教程
各个类linux服务器安装docker教程
68 0
|
4月前
|
域名解析 网络协议 Linux
在Linux中,iptables有哪相关的命令?
在Linux中,iptables有哪相关的命令?

热门文章

最新文章