如何让防火墙使用 NAT 在 LXD 容器内工作？

Question

为什么不在主机中设置防火墙，而是在容器中设置？

我猜你设置了一个代理设备来将 HTTP 和 HTTPS 端口转发到容器，如下所示：

lxc config device add nginx myport80 proxy listen=tcp:yourpublicip:80 proxy_protocol=true connect=tcp:127.0.0.1:80

如果您想使用 iptables 执行相同操作，可以使用以下命令：

iptables -t nat -A PREROUTING -d yourpublicip -p tcp --dport 80 -j DNAT --to-destination nginxcontainerip

记得删除代理设备。你可以将该语句保存在启动时为 root 的脚本中，或者使用 iptables-save 使其永久生效（https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently）。您还可以使用一些防火墙脚本，例如arno-iptables-firewall。

Answer 1

为什么不在主机中设置防火墙，而是在容器中设置？

我猜你设置了一个代理设备来将 HTTP 和 HTTPS 端口转发到容器，如下所示：

lxc config device add nginx myport80 proxy listen=tcp:yourpublicip:80 proxy_protocol=true connect=tcp:127.0.0.1:80

如果您想使用 iptables 执行相同操作，可以使用以下命令：

iptables -t nat -A PREROUTING -d yourpublicip -p tcp --dport 80 -j DNAT --to-destination nginxcontainerip

记得删除代理设备。你可以将该语句保存在启动时为 root 的脚本中，或者使用 iptables-save 使其永久生效（https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently）。您还可以使用一些防火墙脚本，例如arno-iptables-firewall。

相关内容