关于在firewall防火墙无法阻止Docker 容器映射端口被外部访问问题的回顾

这个问题是很早之前处理的，我自己已经没有印象了，今天同事拿了一个处理安全的文档来找我，上面赫然出现了我的名字，比较懵逼。。。

这个问题的现象实际上是 docker映射的端口，通过firewalld 防火墙禁用端口不生效，外部还是能访问到，公司在进行安全扫描的时候总是被抓。。。。

在firewalld内部的实现 依赖了一部分 iptables 的基础组件，目前我理解的是 iptables 规则的优先级要高于 firewalld规则。

docker中，默认是使用了 iptables 做网络请求的路由，所以暴露容器端口时会默认 在 filter 路由表中添加 白名单规则。

因此，通过firewalld 禁用的 端口 不生效。

简单点的做法就是 将docker的启动服务 增加 --iptables=false 参数 关闭掉 docker 使用iptables的网络路由。这时候 容器与宿主机之间的交互是可以任意进行的，然后通过firewalld 的规则 ，进行处理 宿主机与外部网络之间的 网络路由关系。

亦或者是分析 filter 网络路由表，删除掉对应的规则，然后重新添加合适的规则进行处理，这样的话，稍微麻烦一点。。。容易头大