热门搜索:

chaifeng/ufw-docker-agent

chaifeng

自动构建

解决Docker与UFW的安全漏洞，无需禁用iptables，防止Docker发布的端口绕过UFW规则被外部访问，同时保持Docker网络管理功能及容器间、内部网络正常通信，支持通过UFW命令便捷管理容器端口访问权限。

2 次收藏下载次数: 0状态：自动构建维护者：chaifeng仓库类型：镜像最近更新：1 个月前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

ufw-docker：修复Docker与UFW安全漏洞的解决方案

镜像概述和主要用途

ufw-docker是一个用于解决Docker与UFW（Ubuntu上流行的iptables前端）之间安全冲突的解决方案。当Docker安装后，其默认网络配置会绕过UFW防火墙规则，导致容器通过-p选项发布的端口可被外部网络访问，即使UFW已配置阻止该端口。本方案无需禁用Docker的iptables功能，通过修改UFW配置和提供专用工具，实现对Docker容器端口的安全管控，确保公共网络仅能访问明确允许的端口，同时保持容器间、内部网络的正常通信。

核心功能和特性

核心功能

阻止未授权访问：默认阻止公共网络访问Docker发布的所有端口，即使端口绑定到主机所有IP（如-p 0.0.0.0:8080:80）。
保持Docker网络功能：无需禁用Docker的iptables管理，容器间、容器与内部网络可正常通信，容器可访问外部网络。
统一规则管理：通过UFW原生命令（如ufw route）管理容器端口访问权限，无需额外工具。
支持Docker Swarm：提供ufw-docker工具，支持Swarm模式下的服务端口管控。

关键特性

最小配置修改：仅需修改UFW配置文件/etc/ufw/after.rules，Docker配置保持默认。
细粒度控制：可按容器端口、容器IP、协议（TCP/UDP）精确允许/拒绝访问。
日志记录：对被阻止的访问请求记录日志，便于审计和问题排查。
兼容性：支持新版Ubuntu（带ufw route命令）和Docker Swarm模式。

使用场景和适用范围

适用场景

公共服务器部署：在暴露于公网的服务器上运行Docker容器，需严格控制端口访问。
多容器环境：服务器上运行多个容器，需区分内部服务与外部可访问服务。
Docker Swarm集群：在Swarm模式下管理跨节点的容器服务端口访问。
安全合规要求：需符合网络安全规范，确保未授权端口不暴露公网。

适用系统

操作系统：Ubuntu（推荐16.04+，支持ufw route命令）。
Docker环境：Docker Engine（默认配置，启用iptables）、Docker Swarm。
防火墙：UFW（Uncomplicated Firewall）。

详细使用方法和配置说明

前置条件

已安装Docker且启用iptables（默认配置，无--iptables=false修改）。
UFW已启用，默认策略为阻止未允许的入站连接。
若之前按其他方案修改过UFW或Docker配置，需先恢复默认（见下文“撤销原有修改”）。

步骤1：撤销原有修改

若已尝试过其他解决方案，需先恢复默认配置：

启用Docker iptables：删除/etc/docker/daemon.json中"iptables": false等禁用iptables的配置，重启Docker：
```
bash
sudo systemctl restart docker
```
恢复UFW默认转发规则：确保UFW的FORWARD链默认策略为DROP（而非ACCEPT）。
清理UFW配置：删除/etc/ufw/after.rules中与Docker相关的手动添加规则。

步骤2：修改UFW配置

通过修改UFW配置文件实现对Docker端口的管控：

编辑/etc/ufw/after.rules，在文件末尾添加以下规则：

bash
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

重启UFW使规则生效：

bash
sudo systemctl restart ufw

注意：若规则未生效，尝试重启服务器。

步骤3：管理容器端口访问权限

通过ufw route命令允许/拒绝外部访问容器端口（适用于支持ufw route的Ubuntu版本）。

允许外部访问容器端口

允许所有容器的特定端口（如允许外部访问所有容器内端口为80的服务）：

bash
ufw route allow proto tcp from any to any port 80

允许特定容器的端口（如允许外部访问IP为172.17.0.2的容器的80端口）：

bash
ufw route allow proto tcp from any to 172.17.0.2 port 80

允许UDP端口（如允许外部访问所有容器内UDP端口53的DNS服务）：

bash
ufw route allow proto udp from any to any port 53

拒绝外部访问容器端口

拒绝特定容器访问外部网络（如阻止IP为172.17.0.9的容器访问外部）：

bash
ufw route deny from 172.17.0.9 to any

步骤4：使用ufw-docker工具（推荐）

ufw-docker是简化容器端口防火墙规则管理的脚本，支持Docker Swarm模式。

安装ufw-docker

bash
sudo wget -O /usr/local/bin/ufw-docker \
  https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker
sudo chmod +x /usr/local/bin/ufw-docker

初始化UFW配置

bash
ufw-docker install

该命令会备份/etc/ufw/after.rules并添加必要规则。

基本使用示例

允许容器端口（如允许容器httpd的80端口）：

bash
ufw-docker allow httpd 80

允许容器TCP端口（如允许容器httpd的443/tcp端口）：

bash
ufw-docker allow httpd 443/tcp

删除容器规则（如删除容器httpd的所有规则）：

bash
ufw-docker delete allow httpd

Docker Swarm模式使用

允许Swarm服务端口（如允许服务web的80端口）：

bash
ufw-docker service allow web 80

删除Swarm服务规则：

bash
ufw-docker service delete allow web

工作原理说明

核心规则解析

允许私有网络通信：规则允许10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等私有网段的内部通信，确保容器间和内部网络正常访问。
UFW规则集成：通过-A DOCKER-USER -j ufw-user-forward将Docker流量纳入UFW管理，支持通过ufw route命令统一管控。
阻止公共网络主动连接：对TCP协议，阻止公网发起的SYN连接请求；对UDP协议，阻止公网访问容器内0-32767端口（默认本地端口范围外），仅允许容器主动访问外部的UDP响应。

UFW链选择：ufw-user-forward vs ufw-user-input

ufw-user-forward：推荐用于新版Ubuntu（支持ufw route），可单独管控容器端口，不影响主机端口。
ufw-user-input：适用于老版本Ubuntu，但需注意避免同时暴露主机和容器端口。

Docker Swarm模式配置

在Swarm集群中，ufw-docker需在管理节点部署，并在所有节点修改UFW配置：

在所有节点安装ufw-docker并运行ufw-docker install。

在管理节点管理规则（以允许服务web的80端口为例）：

bash
# 创建服务
docker service create --name web --publish 8080:80 httpd:alpine
# 允许外部访问服务的80端口
ufw-docker service allow web 80

删除服务规则：

bash
ufw-docker service delete allow web

验证配置

运行测试容器并发布端口：

bash
docker run -d --name test-httpd -p 8080:80 httpd:alpine

未配置允许规则时，外部无法访问http://<服务器IP>:8080。
执行ufw route allow proto tcp from any to any port 80后，外部可访问该端口。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 ufw-docker-agent 镜像标签

docker pull docker.xuanyuan.run/chaifeng/ufw-docker-agent:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull chaifeng/ufw-docker-agent:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"