» »

[docker] Kako omejiti dostope na IP naslov

[docker] Kako omejiti dostope na IP naslov

poweroff ::

Imam docker aploiacijo na strežniku Debian Buster. Na strežniku je sicer ufw firewall, vendar docker tega seveda ne upošteva in je aplikacija dostopna vsem na svetu (ko zaženem docker-compose up).

No, glede na dokumentacijo, bi potem moral narediti tole:
sudo iptables -I DOCKER-USER -i eth0 ! -s xx.xx.xx.xx -j DROP


Problem je, da ni videti, da bi to delalo. Sploh. Najprej je kao delalo, potem je vse skupaj crknilo in sploh nisem prišel do servica. Na koncu je pa delalo, ampak z blaznim zamikom.
sudo poweroff

secops ::

Tako je, Docker se vrine v iptablese pred tabele UFWja. Ena možnost je, da v daemon.json onemogočiš popravljanje iptablesov in routing urediš ročno.

Druga opcija je ta DOCKER-USER tabela, vendar moraš tukaj upoštevati, da je nujno imeti docker0 adapter. Če ga v daemon.json onemogočiš, ti DOCKER-USER tabela ne bo upoštevana. Mogoče lahko za začetek -j DROP zamenjaš z -j LOG, da boš videl ali to pravilo sploh kaj zadane. Paziti moraš, da v DOCKER-USER tabeli nimaš tega tvojega pravila za RETURN pravilom. Pokaži output od "iptables -L -nv"

eric_cartman ::

Ne vem sicer točno kaj delaš, vendar če zgornji predlog ne bi deloval pa mogoče kaj takega:

https://www.wintellect.com/securing-doc...

Postaviš waf docker container, z nginx in modsec in definiras kakšen promet spustiš v docker container s tvojim appom.

Le kot predlog.

bajsibajsi ::

Nginx proxy manager omogoca listo IP-jev in se vec. V nekem smislu lahko nastavis tudi dvojno avtentikacijo (se eno dodatno prijavo, pred prijavo v tvoj app/streznik/bazo itd).


edit/ Od 21:30 casa naprej.

Zgodovina sprememb…

poweroff ::

Ja, to sem sicer gledal, ampak mi ni preveč všeč. Najraje bi rešil na hard način, s firewallom...
sudo poweroff

shm ::

Lahko probaš rešit na ta način: https://github.com/chaifeng/ufw-docker#...

poweroff ::

What da... OK.

Tale zadnji link mi je ful pomagal, ampak je potrem treba narediti še nekaj drugega.

Najprej rečemo:

sudo ufw route deny proto tcp from any to any port 8080


Tole zablokira dostop do Focker kontejnerja popolnoma.

Potem pa rečemo kaj dovolimo, pri čemer pa je pomemben vrstni red (zato pravilo dodamo na začetek):

sudo ufw route insert 1 allow proto tcp from 192.168.56.1 to any port 8080


Pri pregledu pravil pa je naš prijatelj ukaz:
sudo ufw status numbered


Zaenkrat je videti, da to deluje oz. reši moj problem.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Raspberry Pi + Home Assistant (strani: 1 2 3 4 5 )

Oddelek: Strojna oprema
21937779 (4617) fulgur
»

Rsync preko SSH na Synology NAS

Oddelek: Operacijski sistemi
9484 (389) poweroff
»

PM2 (Node.js Process Manager) in uporabniki

Oddelek: Operacijski sistemi
6752 (688) dunda
»

Nekaj je gnilega v deželi x86 (strani: 1 2 3 )

Oddelek: Novice / Varnost
14027147 (20495) jukoz
»

Blokiranje interneta specifičnemu uporabniku?

Oddelek: Omrežja in internet
81280 (924) AndrejO

Več podobnih tem