2. 程式人生 > >docker、firewalld和iptables之間的關係

docker、firewalld和iptables之間的關係

阿新 發佈:2018-12-12

要注意docker命令中使用 -p 暴露埠時,實現需要依賴iptables。CentOS 7預設使用的是firewalld,但是是否需要關閉firewalld並啟動iptables呢?

參考多篇博文,答案應該是不不需要的。

Note. You need to distinguish between the iptables service and the iptables command. Although firewalld is a replacement for the firewall management provided by iptables service, it still uses the iptables command for dynamic communication with the kernel packet filter (netfilter). So it is only the iptables service that is replaced, not the iptables command. That can be a confusing distinction at first.

在實際使用過程中,沒有使用iptables.service,docker的埠轉發也是正常的,因為iptables一直都在。docker會建立自己的iptables鏈,如果firewalld重啟,docker建立的鏈也需要重新建立。

下面是停用firewalld服務,啟用iptables-services
#!/bin/sh

#停止firewalld服務
systemctl stop firewalld    
#禁用firewalld服務
systemctl mask firewalld

yum install -y iptables
yum update iptables
yum install -y iptables-services

systemctl enable iptables.service
systemctl start iptables.service

#暴露docker swarm需要的埠,如果不使用docker swarm不需要開啟埠
iptables -A INPUT -p tcp --dport 2377 -j ACCEPT
iptables -A INPUT -p tcp --dport 7946 -j ACCEPT
iptables -A INPUT -p udp --dport 7946 -j ACCEPT
iptables -A INPUT -p tcp --dport 4789 -j ACCEPT
iptables -A INPUT -p udp --dport 4789 -j ACCEPT

service iptables save
systemctl restart iptables.service

#開啟轉發
echo 'net.ipv4.ip_forward=1'> /usr/lib/sysctl.d/00-system.conf

systemctl restart network

直接使用firewalld

sudo firewall-cmd --permanent --zone=trusted --add-interface=docker0
sudo firewall-cmd --permanent --zone=trusted --add-port=xxxx/tcp#       xxxx改為你希望的埠號
sudo firewall-cmd --reload

相關推薦

dockerfirewalldiptables之間關係

要注意docker命令中使用 -p 暴露埠時,實現需要依賴iptables。CentOS 7預設使用的是firewalld,但是是否需要關閉firewalld並啟動iptables呢? 參考多篇博文,答案應該是不不需要的。 Note. You need to disti

網絡相關firewalldnetfilternetfilter5表5鏈介紹iptables

src process 配置文件 想要 表鏈 enforce 網絡地址轉換 51cto top 一:linux網絡相關 ifconfig命令,如果沒有,用下列命令安裝一下yum install -y net-tools如果想禁用一個網卡:ifdown ens33啟用網卡if

docker的containerimage之間關係

問題一:Image與Container之間的聯絡? 答:映象的概念更多偏向於一個環境包,這個環境包可以移動到任意的Docker平臺中去執行;而容器就是你執行環境包的例項。你可以針對這個環境包執行N個例項。換句話說container是images的一種具體表現形式。你也可以認為

WSSSSL https 之間關係

SSL SSL(Secure Socket Layer,安全套接層) 簡單來說是一種加密技術, 通過它, 我們可以在通訊的雙方上建立一個安全的通訊鏈路, 因此資料互動的雙方可以安全地通訊, 而不需要擔心資料被竊取. 關於 SSL 的深入知識, 可以看這篇文章: SSL/TL

linux核心驅動硬體之間關係通訊

linux驅動是直接和硬體打交道的軟體程式。層次結構上它處於作業系統和硬體之間。 驅動與linux核心的關係 驅動程式提供的一組裝置驅動介面函式Device Driver Interface給作業系統在linux中,這一組裝置驅動介面函式一般包括open,

AF_UNSPECAF_INETAF_INET6之間關係

ai_family引數指定呼叫者期待返回的套介面地址結構的型別。它的值包括三種:AF_INET,AF_INET6和AF_UNSPEC。如果指定AF_INET,那麼函式九不能返回任何IPV6相關的地址資訊;如果僅指定了AF_INET6,則就不能返回任何IPV4地址資訊。AF_U

詳解Java中的ThreadLocalThreadLocalMapThread之間關係

每個ThreadLocal例項都有一個唯一的threadLocalHashCode(這個值將會用於在ThreadLocalMap中找到ThreadLocal對應的value值),它是通過靜態變數nextHashCode和HASH_INCREMENT進行計算的,其中nextH

Linux網路相關的命令firewalldnetfilternetfilter5表5鏈介紹iptables語法

一、Linux網路相關的一些命令 1. 檢視網絡卡的命令 ifconfig -a                     ip addr                                這兩個命令都可以檢視網絡卡,當網絡卡down掉的時候是看不到的,使用 -

七週第三次課 2017.11.29 Linux網路相關firewalldnetfilternetfilter5表5鏈介紹iptables語法

10.11 Linux網路相關 ifconfig檢視網絡卡ip(需要安裝net-tools包)ip add也可以檢視網絡卡ip 當你的網絡卡沒有ip的時候是不顯示的,但是加上-a就可以檢視到。 關閉網絡卡(如果你正在連線這個網絡卡使用該命令會斷開連線,所以不要用該命令關閉正

JavaJVM作業系統之間關係,寫給新人,

來張圖:這個帖子寫給新人的,老玩家就直接無視他,因為這個完完全全是白話基礎原理。 解釋:上面的圖是從上往下依次呼叫的關係。 作業系統(Windows/Linux)管理硬體,讓硬體能夠正常、合理的執行,當然各種硬體的驅動實現了作業系統的介面,作業系統呼叫這些介面就能管理硬體

英寸 Picas 跨度 Twips 之間關係

有幾個方法 typographers 用於測量字元間距 (字距調整) 和行間距 (前導字元)。 下面列出了定義,和您可能要使用的典型轉換。 POINTloadTOCNode(2, 'summary'); "點"是等於 1 / 72 英寸的版式中使用的度量值的單元。 它主

Linux裝置匯流排驅動之間關係

(一)、驅動、匯流排和裝置的主要資料結構 (include/linux/device.h) (/driver/base/base.h)   (include/device.h) 匯流排中的那兩條連結串列是怎麼形成的。核心要求每次出現一個裝置就要向匯流排彙報,或者

JSDOMJQuery之間關係

DOM(document object model) 其實是瀏覽器內元素物件的一個總稱                我們用JavaScript對網頁進行的所有操作都是通過DOM進行的。DOM屬於瀏覽器,而不是JavaScript語言規範裡的規定的核心內容,所以如果

targetSdkVersionminSdkVersionCompileSdkVersion之間關係

記住一點:Android系統平臺的行為變更,只有targetSdkVersion的屬性值被設定為大於或等於該系統平臺的API版本時,才會生效;compileSdkVersion屬於Android編譯專案時其中的一項配置,主要區別是compileSDKVersion在不會被打

JCLSLF4JLog4JLog4J2LogBackJUL之間關係,你搞清楚了嗎?

寫在前面 日誌元件是我們平時開發過程中必然會用到的元件。在系統中正確的列印日誌至少有下面的這些好處: 除錯:在程式的開發過程中,必然需要我們不斷的除錯以達到程式能正確執行的狀態 。記錄日誌可以讓開發人員清楚的瞭解程式的執行狀態定位問題; 資訊收集:在DT時代,誰掌握了資料誰就掌握了主動權。現在主流的日誌系統

轉載----executeexecuteQueryexecuteUpdate之間的區別

als del mman 必須 ont 修改 效果 一次 都是 JDBCTM中Statement接口提供的execute、executeQuery和executeUpdate之間的區別 Statement 接口提供了三種執行 SQL 語句的方法:executeQuery、e

JDBC中PreparedStatement接口提供的executeexecuteQueryexecuteUpdate之間的區別及用法

ica cat nvi 一個 execute ear let ace 刪除 JDBC中PreparedStatement接口提供的execute、executeQuery和executeUpdate之間的區別及用法 (2012-08-27 09:36:18) 轉載▼

sessionStorage localStorage cookie 之間的區別

大小 路徑 大小限制 共享 限制 存在 接口 也有 有效期 共同點:都是保存在瀏覽器端,且同源的。 區別: cookie數據始終在同源的http請求中攜帶(即使不需要),即cookie在瀏覽器和服務器間來回傳遞。而sessionStorage和localStorage

一張圖弄明白開源協議-GPLBSDMITMozillaApacheLGPL 之間的區別

tail 協議 ref detail 技術 之間 lan ftw 說明 導讀 在開源軟件中經常看到各種協議說明,GPL、BSD、MIT、Mozilla、Apache和LGPL。 - 這些協議之間的有什麽區別 - 如何選擇合適的開源協議 請看下文,特作記錄一篇,以

Linux網絡相關firewalldnetfilternetfilter5表5鏈介紹ipta

mct filter 是否 文件 line 目標 過濾 services sport ifconfig查看網卡-a 當網卡當機時或,無ip時不顯示ifup ens33 /ifdown ens33 啟動關閉網卡(ifup/ifdown後跟的是網卡名字,具體網卡名字需要用if