我在虚拟机上运行 Ubuntu 24.04。我正在尝试设置 nginx,但似乎无法从本地网络外部访问它。
这是我的 nginx.conf
user root;
worker_processes auto;
pid /run/nginx.pid;
error_log /var/log/nginx/error.log;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
types_hash_max_size 2048;
# server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
##
# Gzip Settings
##
gzip on;
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
server {
listen 80;
location / {
default_type text/html;
return 200 "test\n";
# proxy_pass http://localhost:8005/;
}
}
}
在使用开放端口运行 docker compose 项目时,可以从公共 IP 访问它们。 nginx 配置可从本地主机访问:执行
curl http://localhost:80如果使用 netstat 检查,Nginx 正在正确监听:
~# sudo netstat -tanpl|grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 140762/nginx: maste
IPtables 上未显示端口 80:
~# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.22.0.0/16 ! -o br-ac050cf1bd25 -j MASQUERADE
-A POSTROUTING -s 172.21.0.0/16 ! -o br-411d5766abb2 -j MASQUERADE
-A POSTROUTING -s 172.20.0.0/16 ! -o br-a43c6c8e276e -j MASQUERADE
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.20.0.3/32 -d 172.20.0.3/32 -p tcp -m tcp --dport 8005 -j MASQUERADE
-A POSTROUTING -s 172.20.0.5/32 -d 172.20.0.5/32 -p tcp -m tcp --dport 8003 -j MASQUERADE
-A POSTROUTING -s 172.20.0.4/32 -d 172.20.0.4/32 -p tcp -m tcp --dport 8004 -j MASQUERADE
-A POSTROUTING -s 172.20.0.6/32 -d 172.20.0.6/32 -p tcp -m tcp --dport 9600 -j MASQUERADE
-A POSTROUTING -s 172.20.0.6/32 -d 172.20.0.6/32 -p tcp -m tcp --dport 9200 -j MASQUERADE
-A POSTROUTING -s 172.20.0.7/32 -d 172.20.0.7/32 -p tcp -m tcp --dport 9600 -j MASQUERADE
-A POSTROUTING -s 172.20.0.8/32 -d 172.20.0.8/32 -p tcp -m tcp --dport 8001 -j MASQUERADE
-A POSTROUTING -s 172.20.0.9/32 -d 172.20.0.9/32 -p tcp -m tcp --dport 8002 -j MASQUERADE
-A POSTROUTING -s 172.20.0.10/32 -d 172.20.0.10/32 -p tcp -m tcp --dport 5601 -j MASQUERADE
-A POSTROUTING -s 172.20.0.11/32 -d 172.20.0.11/32 -p tcp -m tcp --dport 8006 -j MASQUERADE
-A POSTROUTING -s 172.20.0.7/32 -d 172.20.0.7/32 -p tcp -m tcp --dport 9200 -j MASQUERADE
-A DOCKER -i br-ac050cf1bd25 -j RETURN
-A DOCKER -i br-411d5766abb2 -j RETURN
-A DOCKER -i br-a43c6c8e276e -j RETURN
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8005 -j DNAT --to-destination 172.20.0.3:8005
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8003 -j DNAT --to-destination 172.20.0.5:8003
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8004 -j DNAT --to-destination 172.20.0.4:8004
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9600 -j DNAT --to-destination 172.20.0.6:9600
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9200 -j DNAT --to-destination 172.20.0.6:9200
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9601 -j DNAT --to-destination 172.20.0.7:9600
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8001 -j DNAT --to-destination 172.20.0.8:8001
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8002 -j DNAT --to-destination 172.20.0.9:8002
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 5601 -j DNAT --to-destination 172.20.0.10:5601
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8006 -j DNAT --to-destination 172.20.0.11:8006
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9202 -j DNAT --to-destination 172.20.0.7:9200
有谁知道这里发生了什么吗?
我检查了 ufw 的状态,发现它处于非活动状态。在使用开放端口运行 docker compose 项目时,可以从公共 IP 访问它们。 nginx 配置可从本地主机访问:执行
curl http://localhost:80如果使用 netstat 检查,Nginx 正在正确监听:
~# sudo netstat -tanpl|grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 140762/nginx: maste
IPtables 上未显示端口 80:
~# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.22.0.0/16 ! -o br-ac050cf1bd25 -j MASQUERADE
-A POSTROUTING -s 172.21.0.0/16 ! -o br-411d5766abb2 -j MASQUERADE
-A POSTROUTING -s 172.20.0.0/16 ! -o br-a43c6c8e276e -j MASQUERADE
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.20.0.3/32 -d 172.20.0.3/32 -p tcp -m tcp --dport 8005 -j MASQUERADE
-A POSTROUTING -s 172.20.0.5/32 -d 172.20.0.5/32 -p tcp -m tcp --dport 8003 -j MASQUERADE
-A POSTROUTING -s 172.20.0.4/32 -d 172.20.0.4/32 -p tcp -m tcp --dport 8004 -j MASQUERADE
-A POSTROUTING -s 172.20.0.6/32 -d 172.20.0.6/32 -p tcp -m tcp --dport 9600 -j MASQUERADE
-A POSTROUTING -s 172.20.0.6/32 -d 172.20.0.6/32 -p tcp -m tcp --dport 9200 -j MASQUERADE
-A POSTROUTING -s 172.20.0.7/32 -d 172.20.0.7/32 -p tcp -m tcp --dport 9600 -j MASQUERADE
-A POSTROUTING -s 172.20.0.8/32 -d 172.20.0.8/32 -p tcp -m tcp --dport 8001 -j MASQUERADE
-A POSTROUTING -s 172.20.0.9/32 -d 172.20.0.9/32 -p tcp -m tcp --dport 8002 -j MASQUERADE
-A POSTROUTING -s 172.20.0.10/32 -d 172.20.0.10/32 -p tcp -m tcp --dport 5601 -j MASQUERADE
-A POSTROUTING -s 172.20.0.11/32 -d 172.20.0.11/32 -p tcp -m tcp --dport 8006 -j MASQUERADE
-A POSTROUTING -s 172.20.0.7/32 -d 172.20.0.7/32 -p tcp -m tcp --dport 9200 -j MASQUERADE
-A DOCKER -i br-ac050cf1bd25 -j RETURN
-A DOCKER -i br-411d5766abb2 -j RETURN
-A DOCKER -i br-a43c6c8e276e -j RETURN
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8005 -j DNAT --to-destination 172.20.0.3:8005
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8003 -j DNAT --to-destination 172.20.0.5:8003
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8004 -j DNAT --to-destination 172.20.0.4:8004
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9600 -j DNAT --to-destination 172.20.0.6:9600
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9200 -j DNAT --to-destination 172.20.0.6:9200
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9601 -j DNAT --to-destination 172.20.0.7:9600
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8001 -j DNAT --to-destination 172.20.0.8:8001
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8002 -j DNAT --to-destination 172.20.0.9:8002
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 5601 -j DNAT --to-destination 172.20.0.10:5601
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 8006 -j DNAT --to-destination 172.20.0.11:8006
-A DOCKER ! -i br-a43c6c8e276e -p tcp -m tcp --dport 9202 -j DNAT --to-destination 172.20.0.7:9200
有谁知道这里发生了什么吗?
我查了一下,ufw 处于非活动状态。
访问日志仅显示来自本地主机的成功请求,错误日志不包含任何错误。
我自己想出来了。有一个活动的防火墙阻止了所有端口,不知何故,docker 能够绕过一些防火墙规则,这就是本例中发生的情况。将端口 80 添加到防火墙中允许的端口有效。
有几种方法可以阻止 docker 绕过防火墙,这通常涉及确保 docker 链重定向到正确的链。 https://dev.to/soerenmetje/how-to-secure-a-docker-host-using-firewalld-2joo https://www.techrepublic.com/article/how-to-fix-the- docker-and-ufw-security-flaw/
我发现更简单的方法是简单地像这样映射
127.0.0.1:8080:80808080:8080