Docker и iptables

Как пробрасываются порты с хостовой машины на докеры? Нужно объяснение механизма проброса

Проброс портов с хостовой машины на контейнеры Docker позволяет внешним запросам (например, HTTP, SSH) доходить до служб, работающих внутри контейнеров. Вот как это работает:
1. Базовый механизм проброса портов

Docker использует сетевые пространства имён (network namespaces) и виртуальный сетевой мост для изоляции контейнеров. Когда вы пробрасываете порты, Docker связывает порт хостовой машины с портом контейнера через следующие шаги:
Шаги проброса:

    Хостовая машина:
        На хосте Docker открывает указанный порт (например, 8080) и начинает слушать входящие соединения.
    Виртуальный сетевой мост:
        Docker создает сетевой мост (по умолчанию docker0), который соединяет контейнеры с хостовой машиной.
    Переадресация портов:
        Docker настраивает правила iptables (брандмауэра), чтобы перенаправлять трафик с указанного порта хоста (например, 8080) на внутренний IP-адрес и порт контейнера (например, 172.17.0.2:80).

Пример команды:

docker run -p 8080:80 nginx

    8080:80 означает:
        8080 — порт на хостовой машине.
        80 — порт внутри контейнера, на который перенаправляется трафик.

2. Работа с iptables

Когда вы пробрасываете порты, Docker автоматически добавляет правила в iptables для перенаправления пакетов. Основные этапы:

    PREROUTING:
        В таблице nat создаётся правило для перенаправления пакетов, поступающих на указанный порт хоста, в контейнер.

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 172.17.0.2:80

POSTROUTING:

    Docker подставляет IP-адрес хоста в качестве источника для ответов, чтобы контейнер "знал", куда отправить их.

    iptables -t nat -A POSTROUTING -s 172.17.0.2 -j MASQUERADE

3. Как работает сетевая изоляция

    Docker bridge (по умолчанию): Контейнеры подключаются к виртуальному мосту docker0, получают IP-адреса (например, 172.17.0.x), и трафик маршрутизируется через этот мост.
    Host network: Если указать --network=host, контейнер будет использовать сетевой стек хостовой машины без проброса портов.
    User-defined bridge: Пользователь может создавать свои мосты, управляя изоляцией и маршрутизацией между контейнерами.

4. Проверка проброса

После запуска контейнера с пробросом портов:

    На хосте: Проверьте, открыт ли порт:

netstat -tuln | grep 8080

В контейнере: Убедитесь, что служба работает на указанном порту:

    docker exec -it <container_id> netstat -tuln

5. Пример со сложными пробросами

Проброс нескольких портов:

docker run -p 8080:80 -p 8443:443 my_app

    Пробрасывает HTTP и HTTPS порты из контейнера на хост.

А если iptables не установлен?

Если iptables не установлен на хостовой машине, то стандартный механизм проброса портов Docker работать не будет, поскольку Docker активно использует iptables для настройки сетевых правил.

Но Docker может функционировать и без iptables. Вот что происходит в таком случае:
1. Сеть Docker без iptables

    Docker не сможет автоматически перенаправлять трафик с портов хоста на контейнеры.
    Однако контейнеры всё равно будут запускаться и подключаться к виртуальным сетям, но доступ извне будет невозможен, так как трафик не сможет пройти от хоста до контейнеров.

2. Альтернативы без iptables

Если вы не хотите или не можете использовать iptables, есть другие способы настроить проброс портов:
2.1. Использование --network=host

При запуске контейнера с сетью хоста (--network=host), контейнер использует сетевой стек хостовой машины напрямую. Это убирает необходимость проброса портов.

Пример:

docker run --network=host my_app

    Все порты, которые слушает приложение в контейнере, автоматически становятся доступными на хосте.
    Недостаток: Все сетевые интерфейсы контейнера совпадают с хостом, что убирает изоляцию.

2.2. Настройка прокси или обратного прокси

Вы можете настроить прокси-сервер, такой как NGINX, HAProxy или Caddy, для перенаправления запросов с хоста на контейнеры.

Пример конфигурации NGINX:

server {
    listen 8080;
    location / {
        proxy_pass http://172.17.0.2:80; # IP контейнера
    }
}

Запуск NGINX:

docker run -v /path/to/nginx.conf:/etc/nginx/nginx.conf:ro -p 8080:8080 nginx

2.3. Использование сторонних сетевых инструментов

Если вы не используете iptables, можно применять другие инструменты для управления маршрутизацией и сетями, например:

    nftables (замена iptables): Настраивается вручную для проброса портов.
    Сетевой мост с bridge-utils: Настройка мостов и маршрутов между сетевыми интерфейсами.

2.4. Вручную пробросить порты через сеть

Можно использовать команды маршрутизации или утилиты вроде socat для проброса портов.

Пример с socat:

socat TCP-LISTEN:8080,fork TCP:172.17.0.2:80

    Здесь трафик, поступающий на порт 8080 хоста, перенаправляется на порт 80 контейнера.

3. Проверка текущей сетевой конфигурации

Если iptables отсутствует, убедитесь, что:

    Docker контейнеры могут "видеть" друг друга (через мост docker0).
    Список сетей Docker доступен:

docker network ls

Приложение в контейнере слушает нужный порт:

    docker exec <container_id> netstat -tuln

4. Рекомендация

Если по каким-то причинам iptables недоступен, стоит:

    Рассмотреть установку nftables (более современный инструмент для управления сетями).
    Использовать --network=host для временного решения.
    Или воспользоваться настройкой внешнего прокси.

А если нет iptables то Docker автоматически его устанавливает?

Нет, Docker не устанавливает автоматически iptables, но он ожидает, что iptables будет доступен на хостовой системе. Если iptables отсутствует, Docker всё равно будет работать, но его сетевые функции, такие как проброс портов, создание мостов и межконтейнерное взаимодействие, могут работать некорректно или вовсе не работать.
Как Docker взаимодействует с iptables?

    При установке Docker:
        Docker не устанавливает и не настраивает iptables. Он использует уже существующий на системе пакет iptables.

    Если iptables отсутствует:
        Docker покажет предупреждения в логах или при запуске контейнеров. Например:

        WARNING: iptables not found or not usable. Networking will not work as expected.

        Сетевые функции Docker, такие как проброс портов и NAT, не будут работать.

    На что это влияет?
        Портов, проброшенных через docker run -p, не будет видно на хосте.
        Контейнеры, подключённые к bridge-сети (docker0), не смогут отправлять или получать пакеты за пределами контейнера.

Что делать, если iptables отсутствует?
1. Установить iptables

На большинстве систем установка iptables решает проблему. Примеры команд:

    Для Debian/Ubuntu:

sudo apt update
sudo apt install iptables

Для CentOS/RHEL:

sudo yum install iptables

Для Arch Linux:

    sudo pacman -S iptables

2. Использовать nftables

Современные Linux-дистрибутивы заменяют iptables на nftables. Если ваша система использует nftables, Docker автоматически взаимодействует с ним через совместимость (iptables-nft).

Чтобы проверить, используется ли nftables:

sudo iptables --version

Вы увидите что-то вроде:

iptables v1.8.7 (nf_tables)

Если nftables установлен, но проброс портов не работает, убедитесь, что установлен пакет совместимости iptables-nft.
3. Обойтись без iptables

    Использовать --network=host.
    Настроить сетевой мост вручную (например, с помощью bridge-utils).
    Настроить маршрутизацию и проброс портов через инструменты, такие как socat или nftables.

Итог

Если iptables отсутствует, Docker не установит его автоматически, и многие сетевые функции не будут работать. Рекомендуется установить iptables или убедиться, что ваша система использует nftables с пакетом совместимости iptables-nft.

Если это не вариант, можно использовать ручные настройки сети или специальные параметры (--network=host).