docker容器映射的端口無法用firewalld防火墻管理的問題

藍隊云小課堂：

1. 設置docker服務參數，禁止使用iptables。

編輯docker服務的配置文件/etc/docker/daemon.json，如果沒有這個文件，需要創建一個空文件，添加以下內容：

{

    ... ,

    "iptables":false

}

保存配置文件。在命令行執行以下命令重啟docker服務：

# systemctl restart docker

2. 設置防火墻參數，允許地址轉發

在命令行執行以下命令，開啟防火墻的地址轉發：

# firewall-cmd --add-masquerade --permanent

# firewall-cmd -reload

重啟服務器，讓配置生效。

3. 限制端口僅允許特定IP地址訪問，例如設置9200端口只能被192.168.0.184訪問

3.1 查看防火墻是否開啟了9200端口。

# firewall-cmd --list-all

3.2從防火墻中刪除9200端口，如果沒有，可忽略這一步。

在命令行執行命令

# firewall-cmd --remove-port=9200/tcp --permanent

# firewall-cmd --reload

# firewall-cmd --list-all

已經沒有9200端口。

3.3 添加rich-rules防火墻規則，僅允許192.168.0.184 訪問9200端口。

#firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.0.184" port protocol="tcp" port="9200" accept" --permanent

注意：上面的命令要在一行中輸入，不能分行。

# firewall-cmd --reload

讓修改及時生效。

#firewall-cmd --list-all

這樣設置，即使重啟操作系統，也僅有192.168.0.184能訪問9200端口。

注意：如果添加rich-rule出現錯誤輸入，可以把--add-rich-rule替換為--remove-rich-rule再執行一遍命令，就能刪除這條錯誤的規則。

更多小知識，可聯系藍隊云一起探討。