Docker iptables

Hálózatok általános

Mivel a docker belenyúlkál a iptables-be és minden nyitott portot publikussá tesz, a 17 verziótól berakták a DOCKER-USER chaint, amivel elvileg ezt lehet korlátozni.
Adott az alábbi szabályrendszer:

Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:http DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DOCKER-USER all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain DOCKER (0 references)
target prot opt source destination

Chain DOCKER-ISOLATION (0 references)
target prot opt source destination

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Hogy tudom elégni, hogy a docker container 8080-s portját csak 3 db IP-ről lehessen elérni?

1344 megtekintés

senki nem használ iptables chain-t v dockert? :)

0 szavazat

A hozzászóláshoz be kell jelentkezni

sub

0 szavazat

A hozzászóláshoz be kell jelentkezni

A kívülről érkező csomag, ami nem a te hosztodnak szól (lásd https://www.csie.ntu.edu.tw/~b93070/CNL/v4.0/CNLv4.0.files/Page697.htm), az megy a FORWARD chain-re, ami a fenti konfigban ugrik tovább a DOCKER-USER-re.

Ide tegyél be szabály(oka)t, amivel korlátozod az elérést.

1 szavazat