Я хочу ограничить доступ к портам контейнера докеров только с указанных IP-адресов.
Я установил правила iptables с помощью ipset.
Я открыл порт 8888. Запросы с порта 8888 перенаправляются на простой веб-сервер докеров.
Я определил ipset с IP-адресами из белого списка.
ipset create testfilter iphash
ipset add testfilter 192.168.52.65
Затем я создал правила iptables. Новая цепочка с именем testfilter
, FORWARD
правило с портом 8888
должна перейти к testfilter
. Первое правило из цепочки testfilter
должно соответствовать IP из белого списка ipset. Второе правило из цепочки testfilter
должно прерывать связь, когда IP не совпадает с белым списком.
iptables -N testfilter
iptables -I FORWARD -p tcp --dport 8888 -j testfilter
iptables -A testfilter -m set --match-set test_ips src -j RETURN
iptables -A testfilter -j DROP
Но порт 8888
по-прежнему доступен с любого IP. Я также пытаюсь использовать правило INPUT
вместо правила FORWARD
, также удаляю параметр - dport
из правила и помещаю -m state --state NEW
param вместо этого. Есть идеи, как это исправить?
Вы можете получить доступ к своему порту 8888, потому что ваш докер-контейнер работает на локальном хосте, и FORWARD не блокирует его. Используйте параметр -i, чтобы указать интерфейс lo.