Интернет |
Docker и выборочное открытие порта
centos 7, docker, iptables.
Есть контейнер, который должен смотреть наружу. Запустив его с -p XXX:XXX контейнер доступен всем. А необходимо сделать так, что бы его могли видеть только определенные IP.
Второй вечер голову ломаю. Все решения что находил, нифига не работают или обрезаны на полуслове.
Сейчас правило выглядит так, для примера указан IP 8.8.8.8 как разрешенный
Есть контейнер, который должен смотреть наружу. Запустив его с -p XXX:XXX контейнер доступен всем. А необходимо сделать так, что бы его могли видеть только определенные IP.
Второй вечер голову ломаю. Все решения что находил, нифига не работают или обрезаны на полуслове.
Сейчас правило выглядит так, для примера указан IP 8.8.8.8 как разрешенный
Цитата:
|
-P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT -N DOCKER -N DOCKER-ISOLATION -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -s 8.8.8.8/32 -p tcp -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j DOCKER-ISOLATION -A FORWARD -o docker0 -j DOCKER -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i docker0 ! -o docker0 -j ACCEPT -A FORWARD -i docker0 -o docker0 -j ACCEPT -A FORWARD -o br-3de5ee928d6e -j DOCKER -A FORWARD -o br-3de5ee928d6e -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i br-3de5ee928d6e ! -o br-3de5ee928d6e -j ACCEPT -A FORWARD -i br-3de5ee928d6e -o br-3de5ee928d6e -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A DOCKER -d 172.19.0.4/32 ! -i br-3de5ee928d6e -o br-3de5ee928d6e -p tcp -m tcp --dport 6880 -j ACCEPT -A DOCKER-ISOLATION -i br-3de5ee928d6e -o docker0 -j DROP -A DOCKER-ISOLATION -i docker0 -o br-3de5ee928d6e -j DROP -A DOCKER-ISOLATION -j RETURN |