首先 docker的版本为18.06.3-ce
需要对docker开启的端口进行ip访问限制,例如指定某些ip访问3306端口,命令如下:
#让11.11.141.0网段的服务器以及本机ip可以连接3306端口,而且还需要让docker访问数据库,否则docker部署的数据库之间通信就会被拦截
iptables -I DOCKER-USER -s 11.11.141.0/24,10.122.163.82,172.17.0.1/24 -p tcp -m multiport --dport 3306 -j ACCEPT
#查看规则链,发现第三条是一个return规则,我们所有的设置都需要在这条链以上才生效
iptables -L DOCKER-USER --line-numbers
#所以拒绝连接的链在第三条位置
iptables -I DOCKER-USER 3 -p tcp -m multiport --dport 3306 -j REJECT
#如果操作错误,可以使用如下命令删除这个链,num是链的编号
sudo iptables -D DOCKER-USER num
部分参数如下:
-A 添加到最后一条规则
-I num 添加到 指定数字处,原此处的规则序列加1
-D 删除
-L 列表展示
-m multiport 可以指定多个地址范围
