Follow

然后算是知道了为啥我这边之前防火墙里没有开放的端口也能从外面访问的原因了(不过仅限 Docker 的),Docker 这玩意儿会 XJB 写 iptables!容器里开放出来的端口直接对公网开放了!firewalld 还默许了!

我起先以为是 firewalld 的锅,换了 ufw 之后第一次启动容器的时候 ufw 还拦了下不让它瞎改 iptables,第二次就不拦了... 之后找到了个文章(blog.viktorpetersson.com/2014/ )讲了这个事情... emmmm 给 docker 加了个 --iptables=false 就好了...
(不过我换 ufw 还有别的原因)

感觉 Docker 还是挺魔法的,不靠 iptables,不靠 brctl(因为我没装)也能完成端口映射...

@KayMW docker的互联网协议桌子不是由系统守护进程负责吗?

@tjm 不知道啊... 反正我 netstat 都看不到映射的端口是被谁 bind 了的... 网络什么的我也不怎么懂 😂

@KayMW firewalld无法禁止Docker开放的端口应该是因为Docker在PREROUTING链上做了DNAT然后就跑到FORWARD链了,而firewalld的规则是写在INPUT链上的自然就不起作用

Sign in to participate in the conversation
SaltedFish Network

Nothing but Salted Fish.