zoukankan      html  css  js  c++  java
  • ip route,ip rule, iptables和docker的端口映射

     iptables 

     默认5个表, 不可增加其他表

    1 raw 用于配置数据包,raw 中的数据包不会被系统跟踪。
    2 filter 是用于存放所有与防火墙相关操作的默认表。
    3 nat 用于 网络地址转换(例如:端口转发)。
    4 mangle 用于对特定数据包的修改(参考 损坏数据包)。
    5 security 用于 强制访问控制 网络规则

        控制Linux內核netfilter模組, 做数据包的过滤和转发,只是netfilter项目的一小部分

        防火墙黑白名单

        可以在内核层面将对80端口的访问直接映射到8080端口上

        NAT, 将对本机的请求,转发到内部其他NAT ip上

    下图中可以看到数据包是如何进入本地进程local process

    数据包经过iptables5个表的流程

    birdge check检查是否使用桥接网口

    参考: https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

    https://en.wikipedia.org/wiki/Netfilter

    docker使用NAT时,docker命令也是操作iptables, 给在运行中的容器增加端口映射,需要手动执行iptables命令

    iptables -t nat -A DOCKER -p tcp --dport 8001 -j DNAT --to-destination 172.17.0.19:8000

     查看所有nat规则 iptables -t nat -L -n --line-numbers

     删除一条nat规则 iptables -t nat -D POSTROUTING 2 ,最后一个数字为上一个命令打印的序号

    ip route

       增加路由, 在本地机器上操作, 对应的文件是/etc/iproute2/rt_tables , 等同与netmanager中的操作命令route add default gw 10.0.0.1

       255 local 254 main 253 default 默认的三个路由表, 可以增加自定义的路由表

    windows环境中Metric越小 优先级越高

    ip rule

        路由规则, 路由表中的具体规则

    出方向: ip route, ip rule决定了数据包在到达网口Interface时,需要经过的网关和路由器 

    docker的网络模型

    bridge 默认使用docker0桥接网口 

    host    直接使用宿主机物理网卡

    none    

    container

    高级课题:docker容器配置独立ip  (这个够阳春,没有实验出来)  端口如何开放?

    pipework 需要使用none模式启动 https://github.com/jpetazzo/pipework#connect-a-container-to-a-local-physical-interface

    https://blog.csdn.net/lvshaorong/article/details/69950694

    SNAT,DNAT

    http://cn.linux.vbird.org/linux_server/0250simple_firewall_5.php

  • 相关阅读:
    LPR之我见
    安装tensorflow2.2cpu的简洁方法
    anaconda安装keras
    redis 查看当前连接数
    2020 8 14
    docker安装jenkins
    使用docker安装gitlab
    提问:游戏测试与一般的软件测试的区别在哪里?
    “战斗天使”- 测试媛是如何崛起的?
    关系型数据库的几种常用主键
  • 原文地址:https://www.cnblogs.com/yszzu/p/9304159.html
Copyright © 2011-2022 走看看