摘要：Docker容器的网络能力依赖于Linux内核的两大核心技术：虚拟网络设备（veth pair、网桥）和iptables规则链。以默认的bridge模式为例，其底层实现可分为以下环节：

Docker容器的网络能力依赖于Linux内核的两大核心技术：虚拟网络设备（veth pair、网桥）和iptables规则链。以默认的bridge模式为例，其底层实现可分为以下环节：

Docker启动时会创建docker0网桥（默认IP 172.17.0.1），每个容器通过veth pair设备连接到该网桥。容器内的eth0网卡与宿主机的vethxxx端口形成“虚拟网线”，实现二层通信。

查看宿主机网桥及veth设备

brctl show docker0

ip link | grep veth

查看Docker自动生成的iptables规则

iptables -t nat -L -n -v

直接暴露MySQL 3306、Redis 6379、Docker API 2375等端口（详见国家网络安全高危端口清单）极易引发入侵。建议：

禁用默认端口：例如将Redis监听端口改为非6379

docker run -d -p 16379:6379 redis --port 6379

直接配置INPUT链可能失效（Docker流量绕过filter表），正确方式是通过DOCKER-USER链控制：

只允许192.168.1.0/24网段访问容器8080端口

iptables -I DOCKER-USER -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT

iptables -I DOCKER-USER -p tcp --dport 8080 -j DROP

对SSH、RDP等管理端口强制使用密钥+动态口令

记录关键端口的访问日志

iptables -A DOCKER-USER -p tcp --dport 22 -j LOG --log-prefix "SSH_ACCESS: "

无需网关的轻量级方案

单容器或小型系统可通过iptables+安全组实现防护：

使用iptables限制MySQL只允许内网访问

iptables -A DOCKER-USER -p tcp --dport 3306 -s 10.0.0.0/8 -j ACCEPT

iptables -A DOCKER-USER -p tcp --dport 3306 -j DROP

规则备份与恢复

备份当前规则

iptables-save > /etc/iptables/rules.v4

误操作后快速恢复

iptables-restore

新增规则前，先通过临时链测试：

iptables -N TEST_CHAIN

iptables -A INPUT -j TEST_CHAIN

定期检查docker0网桥和iptables规则变化：

watch -n 5 “brctl show docker0; iptables -t nat -L -n”

容器网络诊断命令

查看容器网络命名空间

nsenter -t $(docker inspect -f ‘{{.State.Pid}}’ 容器ID) -n ip a

抓取容器网络流量

tcpdump -i vethxxx -nn -w container.pcap

Docker网络与iptables的深度协同，是保障容器安全的核心防线。通过精准控制端口暴露范围、合理运用网关分层防护，运维人员能将攻击面压缩到最小。记住：安全从来不是“开关”，而是持续优化的过程。

来源：linux运维菜一点号1