UFW-Docker项目：如何限制私有子网对容器的访问

在Linux系统中使用UFW（Uncomplicated Firewall）结合Docker时，默认情况下所有私有子网（如192.168.0.0/16）都能访问容器服务。但在实际生产环境中，我们往往需要对特定IP或子网实施更精细的访问控制。本文将详细介绍如何通过ufw-docker工具实现这一目标。

基础网络访问控制原理

ufw-docker通过在系统防火墙中创建路由规则来实现容器网络访问控制。默认配置会允许整个私有地址空间（192.168.0.0/16）访问容器，这在实际部署中可能存在安全隐患。我们需要理解UFW规则的两个关键特性：

1. 规则按顺序匹配，先匹配到的规则生效
2. 更具体的规则优先于通用规则

实施精确访问控制的步骤

1. 允许特定IP访问

首先需要为需要访问容器的IP地址创建允许规则。例如，允许IP 192.168.1.5访问所有容器端口：

ufw route allow from 192.168.1.5

如需限制特定端口，如只允许访问80和443端口：

ufw route allow from 192.168.1.6 to any port 80,443 proto tcp

2. 禁止整个子网访问

在允许规则设置完成后，添加禁止整个子网的规则：

ufw route deny from 192.168.1.0/24

关键点：禁止规则必须放在允许规则之后，否则允许规则将不会生效。

规则顺序的重要性

UFW规则按照从上到下的顺序匹配，因此规则的排列顺序至关重要。正确的顺序应该是：

1. 特定IP的允许规则
2. 子网的拒绝规则

如果顺序颠倒，系统会先匹配到拒绝规则，导致后续的允许规则失效。

实际应用示例

假设我们有以下需求：

• 允许192.168.1.5完全访问容器
• 允许192.168.1.6-7访问容器的80和443端口
• 禁止192.168.1.0/24子网其他所有IP访问

对应的规则配置应为：

ufw route allow from 192.168.1.5
ufw route allow from 192.168.1.6 to any port 80,443 proto tcp
ufw route allow from 192.168.1.7 to any port 80,443 proto tcp
ufw route deny from 192.168.1.0/24

注意事项

1. 修改规则后建议使用ufw status numbered命令检查规则顺序
2. 测试时建议先设置临时规则，确认无误后再永久生效
3. 对于生产环境，建议在非业务高峰期进行规则调整
4. 复杂的网络环境可能需要结合其他网络工具进行综合配置

通过以上方法，管理员可以实现对容器服务的精确访问控制，既保证了必要服务的可访问性，又增强了系统的安全性。这种细粒度的控制特别适合多租户环境或需要严格网络隔离的场景。