UFW не блокирует подключения к экземпляру докеров

5

У меня есть webservice, запущенный внутри экземпляра докера, который запускался с помощью следующей команды:

sudo docker run -d -p 4040:4040 ....

Мои правила UFW выглядят следующим образом:

~ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
4040                       DENY        Anywhere
22                         ALLOW       Anywhere (v6)
4040                       DENY        Anywhere (v6)

Когда я получаю доступ к ящику напрямую через свой IP-адрес, я могу получить доступ к порту 4040. Почему правило ufw не блокирует его?

Примечание. Как часть установки докера, я изменил

DEFAULT_FORWARD_POLICY="DROP" в DEFAULT_FORWARD_POLICY="ACCEPT"

в / etc / default / ufw в соответствии с инструкциями докеров ( Ссылка )     

задан mrwooster 05.02.2014 в 20:48
источник

3 ответа

3

У меня была та же проблема и разрешила ее, используя вместо этого IPTABLES.

Пример только для 3306 из источника ip xxx.xxx.xxx.xxx:

Добавляет accept для источника, сопоставляющего наш ip с линией 1 цепочки FORWARD

iptables -I FORWARD 1 -p tcp -i eth0 -s xxx.xxx.xxx.xxx --dport 3306 -j ACCEPT

Отбрасывает все другие соединения в цепочке FORWARD для этого порта

iptables -I FORWARD 2 -p tcp -i eth0 --dport 3306 -j DROP

Использование номеров строк (1 & amp; 2) заставляет правила добавляться над теми, которые создаются докером, например:

-A FORWARD -d 0.0.0.0/32! -i docker0 -o docker0 -p tcp -m tcp -dport 3306 -j ACCEPT

    
ответ дан andyg5000 14.05.2014 в 05:21
2

Существует проблема с информацией, связанная с этим. В принципе, докер настраивает Iptables за UFW.

Дополнительная информация:

Короткий возможный ответ:

Set DEFAULT_FORWARD_POLICY="ACCEPT" in /etc/default/ufw
Set DOCKER_OPTS="--iptables=false" in /etc/default/docker
    
ответ дан angelcervera 06.03.2016 в 12:11
0

Попробуйте запустить контейнер с определенным IP-адресом.

docker run -d -p 127.0.0.1:4040:4040 ...
    
ответ дан Anonymous 02.04.2014 в 17:04