UFW не блокирует соединения с экземпляром докера
У меня есть веб-сервис, работающий внутри экземпляра докера, который был запущен с помощью следующей команды:
sudo docker run -d -p 4040:4040 ....
Мои правила UFW выглядят так:
~ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
4040 DENY Anywhere
22 ALLOW Anywhere (v6)
4040 DENY Anywhere (v6)
Когда я получаю доступ к ящику напрямую через его IP, я могу получить доступ к порту 4040. Почему правило ufw не блокирует его?
Примечание. В процессе установки докера я изменил
DEFAULT_FORWARD_POLICY = "DROP" на DEFAULT_FORWARD_POLICY = "ПРИНЯТЬ"
в / etc / default / ufw согласно инструкциям докеров здесь ( http://docs.docker.io/en/latest/installation/ubuntulinux/#docker-and-ufw )
3 ответа
У меня была та же проблема, и я решил ее, используя вместо этого IPTABLES.
Пример для разрешения только 3306 из исходного ip xxx.xxx.xxx.xxx:
Добавляет принятие для источника, соответствующего нашему ip, в строку 1 цепочки FORWARD
iptables -I FORWARD 1 -p tcp -i eth0 -s xxx.xxx.xxx.xxx --dport 3306 -j ACCEPT
Отбрасывает все другие соединения в цепочке FORWARD для этого порта
iptables -I FORWARD 2 -p tcp -i eth0 --dport 3306 -j DROP
Использование номеров строк (1 и 2) заставляет добавлять правила выше созданных докером, таких как:
-A FORWARD -d 0.0.0.0/32! -i docker0 -o docker0 -p tcp -m tcp --dport 3306 -j ПРИНЯТЬ
С этим связана известная проблема. В основном, докер настраивает Iptables за UFW.
Дополнительная информация:
- http://www.acervera.com/blog/2016/03/05/ufw_plus_docker
- https : //github.com/docker/docker/issues/4737
Краткий возможный ответ:
Set DEFAULT_FORWARD_POLICY="ACCEPT" in /etc/default/ufw
Set DOCKER_OPTS="--iptables=false" in /etc/default/docker
Попробуйте запустить контейнер с определенным IP.
docker run -d -p 127.0.0.1:4040:4040 ...