docker的iptables规则

本站的大部分服务都是在使用docker管理，但是服务器的防火墙对于docker的管理好像处于失效状态

所以找了一下这方面的资料。

目前我的博客可以使用IP+端口的方式访问，所以我使用如下的操作，禁止了IP+端口的方式访问。

工具：iptables

iptables -I DOCKER -p tcp --dport yourport -j DROP
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport yourport -j ACCEPT
iptables -L -n

执行以上操作后，IP+端口方式已经无法访问。

其实docker自己会往系统中注册一个虚拟网卡叫docker0，访问docker服务的流量会直接被转发到这张网卡上，而因为docker0在linux系统中会被视为一张网卡，所以他的iptables规则是独有的。

所以先用Drop禁止docker网卡的所有访问，然后在ACCEPT一条仅允许127.0.0.1的IP访问规则，这样就达成了可以禁止容器被IP+端口访问了。