我有一个在主机上运行的 docker 容器,其中一些端口映射到主机上的端口。
docker run -d -p 9009:9009 someserver
除了 80、443 和 22,我希望这台机器与 Internet 防火墙隔离。
但我仍然希望主机内的进程能够连接到 9009。
我有点震惊地发现 docker 似乎完全绕过了丢弃数据包的任何防火墙规则。
我尝试在 centos 7 上使用firewalld和iptables来阻止除 80、443 和 22 之外的所有内容。不知何故,我仍然能够从主机外部访问 docker 端口映射容器(端口 9009)!我发现的一些解决方案似乎完全弄乱了 docker 的路由——要么使 docker 容器无法访问互联网或其他什么。
我的情况可能吗?
这似乎在问同样的问题:https : //security.stackexchange.com/questions/66136/docker-port-forwarding-exposure