一、Docker网络架构与防火墙基础

Docker容器运行在独立的网络命名空间中，默认通过桥接网络（bridge）或自定义网络（overlay/macvlan）与宿主机及外部通信。容器内应用的网络访问控制需通过宿主机防火墙或容器内防火墙工具实现。

核心概念：

• 网络命名空间：每个容器拥有独立的网络栈（IP、路由表、防火墙规则）
• iptables：Linux默认防火墙工具，Docker依赖其实现NAT和过滤
• Docker网络驱动：bridge（默认）、host（共享宿主机网络）、overlay（跨主机网络）

典型场景：

• 容器内Web服务需开放80/443端口
• 数据库容器仅允许特定IP访问
• 微服务架构中服务间通信需精确控制

二、Docker内应用防火墙放行策略

1. 宿主机防火墙配置（推荐方案）

步骤1：识别容器暴露端口

docker inspect <容器ID> | grep -i "HostPort"
# 或通过docker ps查看端口映射
docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Ports}}"

步骤2：配置iptables规则

# 允许外部访问容器80端口（假设宿主机端口8080映射到容器80）
sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
# 允许容器间通信（假设容器IP为172.17.0.3）
sudo iptables -A INPUT -s 172.17.0.3 -j ACCEPT

最佳实践：

• 使用--dport指定宿主机端口而非容器端口
• 结合-s参数限制源IP
• 优先在INPUT链配置，避免影响FORWARD链

2. 容器内防火墙配置（高级场景）

当容器需独立控制网络访问时，可在容器内安装iptables或nftables：

# Dockerfile示例
FROM ubuntu:22.04
RUN apt-get update && apt-get install -y iptables
COPY entrypoint.sh /
ENTRYPOINT ["/entrypoint.sh"]

# entrypoint.sh示例
#!/bin/bash
# 允许出站HTTP请求
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
# 阻止其他出站连接
iptables -A OUTPUT -j DROP
exec "$@"

注意事项：

• 容器需以--cap-add=NET_ADMIN运行
• 规则重启后失效，需通过脚本或编排工具持久化
• 可能影响Docker默认的NAT规则

三、防火墙Console管理方案

1. 宿主机Console管理

方法1：直接命令行

# 查看所有iptables规则
sudo iptables -L -n --line-numbers
# 删除规则（示例删除INPUT链第3条）
sudo iptables -D INPUT 3

方法2：图形化工具

• ufw（Ubuntu简易防火墙）：

  sudo ufw allow 8080/tcp
  sudo ufw status numbered

• firewalld（RHEL/CentOS）：

  sudo firewall-cmd --add-port=8080/tcp --permanent
  sudo firewall-cmd --reload

2. 容器内Console管理

方案1：SSH进入容器

# 启动带SSH的容器
docker run -d --name myapp \
  -p 2222:22 \
  -e ROOT_PASSWORD=yourpass \
  rastasheep/ubuntu-sshd
# 连接容器
ssh root@localhost -p 2222

方案2：使用docker exec

# 进入容器交互式终端
docker exec -it <容器ID> /bin/bash
# 在容器内操作iptables
iptables -L

安全建议：

• 避免直接暴露SSH端口，优先使用docker exec
• 容器内防火墙规则需与宿主机规则协同
• 定期审计Console访问记录

四、企业级部署建议

1. 编排工具集成

Kubernetes网络策略示例：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-web
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 192.168.1.0/24
    ports:
    - protocol: TCP
      port: 80

2. 自动化规则管理

Ansible剧本示例：

- name: Configure firewall for Docker containers
  hosts: docker_hosts
  tasks:
    - name: Allow container port
      iptables:
        chain: INPUT
        protocol: tcp
        destination_port: 8080
        jump: ACCEPT
        state: present
      become: yes

3. 监控与审计

日志收集方案：

# 收集iptables日志
sudo iptables -A INPUT -j LOG --log-prefix "FIREWALL: "
# 使用journalctl查看
journalctl -t kernel --grep "FIREWALL:"

五、常见问题解决方案

问题1：容器端口无法访问

• 检查步骤：
  1. docker port <容器ID>确认端口映射
  2. sudo iptables -L -n查看规则是否生效
  3. 测试宿主机本地访问：curl http://localhost:8080

问题2：容器间通信失败

• 排查要点：
  • 检查是否在同一Docker网络
  • 验证--icc=false（禁用容器间通信）设置
  • 使用docker network inspect查看网络配置

问题3：防火墙规则重启后丢失

• 解决方案：
  • 宿主机规则：保存到/etc/iptables/rules.v4
  • 容器规则：通过Dockerfile或entrypoint脚本持久化

六、未来演进方向

1. eBPF技术：通过BPF程序实现更精细的网络控制
2. 服务网格：Istio/Linkerd等工具提供应用层防火墙
3. 零信任架构：结合SPIFFE/SPIRE实现动态身份验证

本文提供的方案覆盖了从基础配置到企业级部署的全场景，开发者可根据实际需求选择适合的防火墙管理策略。建议定期进行安全审计，并关注Docker官方文档中的网络最佳实践更新。