Top Menu

如何避免docker容器自动在防火墙上开放端口

在运行第三方服务容器的时候,通常需要绑定端口到主机,从而实现从主机访问容器,但是由于docker会跳过UFW操作iptables规则在防火墙上打洞,所以很难进行安全控制和管理。其实有一个方法可以让docker不自动创建防火墙规则。

这里以创建Cloud Torrent容器为例

官方创建容器的命令如下

其中 -p 63000:63000 命令就会使docker在主机的防火墙上打开63000端口。而我们如果只需要通过反向代理访问容器,那么可以更改命令如下

将其中的 -p 63000:63000 命令改为 --expose=63000 ,表示只在容器上暴露端口,而不绑定到主机。

之后,通过 docker inspect <container id> 查询容器IP,再配置反向代理到容器IP:63000即可。

这样就可以避免在主机上开放端口,避免因为公开了第三方容器的端口而引发安全性问题。

There are no comments yet

  • Hello, guest

Powered by WordPress. Designed by WooThemes