Forum » Programiranje » [docker] Kako omejiti dostope na IP naslov
[docker] Kako omejiti dostope na IP naslov
poweroff ::
Imam docker aploiacijo na strežniku Debian Buster. Na strežniku je sicer ufw firewall, vendar docker tega seveda ne upošteva in je aplikacija dostopna vsem na svetu (ko zaženem docker-compose up).
No, glede na dokumentacijo, bi potem moral narediti tole:
Problem je, da ni videti, da bi to delalo. Sploh. Najprej je kao delalo, potem je vse skupaj crknilo in sploh nisem prišel do servica. Na koncu je pa delalo, ampak z blaznim zamikom.
No, glede na dokumentacijo, bi potem moral narediti tole:
sudo iptables -I DOCKER-USER -i eth0 ! -s xx.xx.xx.xx -j DROP
Problem je, da ni videti, da bi to delalo. Sploh. Najprej je kao delalo, potem je vse skupaj crknilo in sploh nisem prišel do servica. Na koncu je pa delalo, ampak z blaznim zamikom.
sudo poweroff
secops ::
Tako je, Docker se vrine v iptablese pred tabele UFWja. Ena možnost je, da v daemon.json onemogočiš popravljanje iptablesov in routing urediš ročno.
Druga opcija je ta DOCKER-USER tabela, vendar moraš tukaj upoštevati, da je nujno imeti docker0 adapter. Če ga v daemon.json onemogočiš, ti DOCKER-USER tabela ne bo upoštevana. Mogoče lahko za začetek -j DROP zamenjaš z -j LOG, da boš videl ali to pravilo sploh kaj zadane. Paziti moraš, da v DOCKER-USER tabeli nimaš tega tvojega pravila za RETURN pravilom. Pokaži output od "iptables -L -nv"
Druga opcija je ta DOCKER-USER tabela, vendar moraš tukaj upoštevati, da je nujno imeti docker0 adapter. Če ga v daemon.json onemogočiš, ti DOCKER-USER tabela ne bo upoštevana. Mogoče lahko za začetek -j DROP zamenjaš z -j LOG, da boš videl ali to pravilo sploh kaj zadane. Paziti moraš, da v DOCKER-USER tabeli nimaš tega tvojega pravila za RETURN pravilom. Pokaži output od "iptables -L -nv"
eric_cartman ::
Ne vem sicer točno kaj delaš, vendar če zgornji predlog ne bi deloval pa mogoče kaj takega:
https://www.wintellect.com/securing-doc...
Postaviš waf docker container, z nginx in modsec in definiras kakšen promet spustiš v docker container s tvojim appom.
Le kot predlog.
https://www.wintellect.com/securing-doc...
Postaviš waf docker container, z nginx in modsec in definiras kakšen promet spustiš v docker container s tvojim appom.
Le kot predlog.
bajsibajsi ::
Nginx proxy manager omogoca listo IP-jev in se vec. V nekem smislu lahko nastavis tudi dvojno avtentikacijo (se eno dodatno prijavo, pred prijavo v tvoj app/streznik/bazo itd).
edit/ Od 21:30 casa naprej.
edit/ Od 21:30 casa naprej.
Zgodovina sprememb…
- spremenilo: bajsibajsi ()
poweroff ::
Ja, to sem sicer gledal, ampak mi ni preveč všeč. Najraje bi rešil na hard način, s firewallom...
sudo poweroff
poweroff ::
What da... OK.
Tale zadnji link mi je ful pomagal, ampak je potrem treba narediti še nekaj drugega.
Najprej rečemo:
Tole zablokira dostop do Focker kontejnerja popolnoma.
Potem pa rečemo kaj dovolimo, pri čemer pa je pomemben vrstni red (zato pravilo dodamo na začetek):
Pri pregledu pravil pa je naš prijatelj ukaz:
Zaenkrat je videti, da to deluje oz. reši moj problem.
Tale zadnji link mi je ful pomagal, ampak je potrem treba narediti še nekaj drugega.
Najprej rečemo:
sudo ufw route deny proto tcp from any to any port 8080
Tole zablokira dostop do Focker kontejnerja popolnoma.
Potem pa rečemo kaj dovolimo, pri čemer pa je pomemben vrstni red (zato pravilo dodamo na začetek):
sudo ufw route insert 1 allow proto tcp from 192.168.56.1 to any port 8080
Pri pregledu pravil pa je naš prijatelj ukaz:
sudo ufw status numbered
Zaenkrat je videti, da to deluje oz. reši moj problem.
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Raspberry Pi + Home Assistant (strani: 1 2 3 4 5 )Oddelek: Strojna oprema | 37779 (4617) | fulgur |
» | Rsync preko SSH na Synology NASOddelek: Operacijski sistemi | 484 (389) | poweroff |
» | PM2 (Node.js Process Manager) in uporabnikiOddelek: Operacijski sistemi | 752 (688) | dunda |
» | Nekaj je gnilega v deželi x86 (strani: 1 2 3 )Oddelek: Novice / Varnost | 27147 (20495) | jukoz |
» | Blokiranje interneta specifičnemu uporabniku?Oddelek: Omrežja in internet | 1280 (924) | AndrejO |