我正在尝试在带有 nginx 反向代理的 docker 容器中设置一个简单的 Web 应用程序(不是在容器中,而是在主机上)。
这是我运行容器的方式:
docker run -d --name mywebapp -v /webapp/:/data/ --restart unless-stopped -p 5665:80 mywebapp/server:latest
Web 应用程序侦听容器内的端口
805665nginx反向代理监听端口
56665665netstat -lntupActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 29369/nginx: master
tcp 0 0 0.0.0.0:5665 0.0.0.0:* LISTEN 151974/docker-proxy
我想配置防火墙阻止除
5666这是我的
nftablesdefine IIFNAME = "ens3";
table inet filter {
chain input {
type filter hook input priority filter
policy drop
ct state invalid drop comment "early drop of invalid connections"
ct state {established, related} accept comment "allow tracked connections"
iifname lo accept comment "allow from loopback"
ip protocol icmp accept comment "allow icmp"
meta l4proto ipv6-icmp accept comment "allow icmp v6"
tcp dport ssh accept comment "allow sshd"
tcp dport 5666 accept comment "webserver";
pkttype host limit rate 5/second counter reject with icmpx type admin-prohibited
counter
}
chain forward {
type filter hook forward priority filter
policy drop
iifname "docker0" oifname $IIFNAME accept;
iifname $IIFNAME oifname "docker0" accept;
}
我可以连接到端口
566656655665经过一番尝试和错误,我发现问题出在“前向”链规则上,即:
iifname "docker0" oifname $IIFNAME accept;
iifname $IIFNAME oifname "docker0" accept;
删除这些规则可以解决此问题,但也会阻止容器访问互联网。
我的两个问题:
为什么“转发”规则很重要?我认为“转发”规则仅适用于数据包应该由另一台机器(或容器)接收时。然而,
5665docker-proxydocker-proxyINPUT FORWARD链。然而,似乎FORWARD(也许有了上一个问题的答案,这个问题的答案就很清楚了,但我还是会问它) 如何阻止从外部(从
5665ens3ens3Docker 使用防火墙来路由流量,因此使用防火墙来限制访问可能会造成混乱。
一个更简单的解决方案是使用
... -p 127.0.0.1:5665:80