АМ
@gecube но скажи пожалуйста, что ты имеешь ввиду под фразой «сломал firewall»?
Size: a a a
2019 October 22
k
задача проста, казалось бы, запретить снаружи доступ на всё, кроме 80 и 443.
незнаю что-там со свармом , но я запрещал обычно так ...
iptables -I DOCKER -i eth0 ! -s 46.46.46.46 -p tcp --dport 27017 -j DROP
iptables -I DOCKER -i eth0 -s 78.78.78.78 -j ACCEPT
c
iptables -I DOCKER -i eth0 -s 78.78.78.78 -j ACCEPT- весь трафик ?
АМ
незнаю что-там со свармом , но я запрещал обычно так ...
iptables -I DOCKER -i eth0 ! -s 46.46.46.46 -p tcp --dport 27017 -j DROP
iptables -I DOCKER -i eth0 -s 78.78.78.78 -j ACCEPT
а не docker-user?
АМ
я в итоге убрал дефолтный DROP в чейне FORWARD и INPUT - потом разберусь с этим
k
а не docker-user?
в смысле docker-user ? ... это дроп в цепочку докеровскую, в офф мане это-же прописано
АМ
и последним правилом написал что-то вроде
iptables -I docker-user -i extif -j DROPАМ
в смысле docker-user ? ... это дроп в цепочку докеровскую, в офф мане это-же прописано
эээ.. я может немного косоглаз, но не видел этого. можно ткнуть в строчку?
АМ
вот такая балалайка у меня получилась
k
да , в офф мане DOCKER-USER
АМ
да , в офф мане DOCKER-USER
вот. я уж думал совсем кукухой поехал
k
я полагаю у меня устаревшие данные , я это делал года 2 назад.
пойду сейчас поковыряюсь в архивах докеровских, попытаюсь понять откуда ноги растут
пойду сейчас поковыряюсь в архивах докеровских, попытаюсь понять откуда ноги растут
GG
@gecube но скажи пожалуйста, что ты имеешь ввиду под фразой «сломал firewall»?
Я поясню. Здесь два смысла. 1. Если ты вносишь правки в правила файрволла, то с хорошей степенью вероятности - он сбрасывает правила к дефолту. Потом только перезапуск докера
k
но в целом похоже, что раньше цепочки DOCKER-USER небыло , ... и я депрекейтед правило сказал, которое тыкал ранее
GG
но в целом похоже, что раньше цепочки DOCKER-USER небыло , ... и я депрекейтед правило сказал, которое тыкал ранее
Не было. С 18.09 вроде ввели
GG
2. Смысл в том, что там очень сложно правильное правило построить. Чтобы ограничить доступ и не сломать взаимодействие между контейнерами
GG
Я писал, но в зависимости от дистрибутива можно наблюдать разные спецэффекты. Например. Публикуешь порт через докер. В цепочке инпут у тебя либо дроп по дефолту, либо режект. Все работает. Но. Если пытаешься из контейнера сходить в другой по внешнему адресу кирдык. А с внешних узлов все ок. 🤦♂ загадка разгадана.. но настроить это еще тот гемор
GG
Или вторая история. База данных на хостинге вне докера. Надо ограничить ее только для локалхоста и контейнеров. Ох как я намаялся подбирая правильную комбинацию правил
АМ
дада. во взаимодействие в контейнерах без специального ПО лучше не лезть.