同时安装ufw和docker后,你或许遇到过ufw对docker不生效的问题。针对这个问题,网上大部分的方法是修改/etc/docker/daemon.json,然而这并不能彻底解决问题。
问题分析
docker在创建容器的时候,会修改iptables来打开端口和创建转发规则(bridge模式)。然而,ufw同样基于iptables,并且并不会处理docker创建的规则。因此,docker会把端口开放,并且不会显示在ufw中,就像这样:
使用dall-e 3绘制
通过修改/etc/docker/daemon.json,可以让docker不再去碰iptables,然而由于bridge模式下需要通过iptables进行流量转发,如果不修改iptables,会导致容器内部无法联通外网。
在经过一番查找后,发现了这个仓库:https://github.com/chaifeng/ufw-docker
经过实测后,发现确实可以起到作用。
修复方法
编辑/etc/ufw/after.rules
sudo vim /etc/ufw/after.rules
然后在末尾加上这些:
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward
-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16
-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12
-A DOCKER-USER -j RETURN
-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP
COMMIT
# END UFW AND DOCKER
这里虽然只配置了172.16.0.0/12段,但是经过测试,对于处在其他网段的容器同样有效。
接着,重启ufw
sudo systemctl restart ufw
貌似有个bug,重启一次不会生效,多重启几次就好了。如果重启正常,执行这个命令的时候会卡一下,而不是立即结束。按照那个仓库的说法,可能需要重启机子才能生效,不过我并没有碰到。
如果需要放行端口,怎么办?
直接使用ufw allow是没有用的,需要添加一条转发规则
sudo ufw route allow proto tcp from any to any port {your_port}
在ufw status中应该是ALLOW FWD
当然,如果你的云服务商提供安全组,那还是用安全组吧,这东西真够难用的。