[docker] Kako omejiti dostope na IP naslov @ Slo-Tech

Forum » Programiranje »
[docker] Kako omejiti dostope na IP naslov

[docker] Kako omejiti dostope na IP naslov

poweroff :: 10. mar 2021, 22:11

Imam docker aploiacijo na strežniku Debian Buster. Na strežniku je sicer ufw firewall, vendar docker tega seveda ne upošteva in je aplikacija dostopna vsem na svetu (ko zaženem docker-compose up).

No, glede na dokumentacijo, bi potem moral narediti tole:

sudo iptables -I DOCKER-USER -i eth0 ! -s xx.xx.xx.xx -j DROP

Problem je, da ni videti, da bi to delalo. Sploh. Najprej je kao delalo, potem je vse skupaj crknilo in sploh nisem prišel do servica. Na koncu je pa delalo, ampak z blaznim zamikom.

sudo poweroff

secops :: 11. mar 2021, 11:40

Tako je, Docker se vrine v iptablese pred tabele UFWja. Ena možnost je, da v daemon.json onemogočiš popravljanje iptablesov in routing urediš ročno.

Druga opcija je ta DOCKER-USER tabela, vendar moraš tukaj upoštevati, da je nujno imeti docker0 adapter. Če ga v daemon.json onemogočiš, ti DOCKER-USER tabela ne bo upoštevana. Mogoče lahko za začetek -j DROP zamenjaš z -j LOG, da boš videl ali to pravilo sploh kaj zadane. Paziti moraš, da v DOCKER-USER tabeli nimaš tega tvojega pravila za RETURN pravilom. Pokaži output od "iptables -L -nv"

eric_cartman :: 11. mar 2021, 20:49

Ne vem sicer točno kaj delaš, vendar če zgornji predlog ne bi deloval pa mogoče kaj takega:

https://www.wintellect.com/securing-doc...

Postaviš waf docker container, z nginx in modsec in definiras kakšen promet spustiš v docker container s tvojim appom.

Le kot predlog.

bajsibajsi :: 15. mar 2021, 22:43

Nginx proxy manager omogoca listo IP-jev in se vec. V nekem smislu lahko nastavis tudi dvojno avtentikacijo (se eno dodatno prijavo, pred prijavo v tvoj app/streznik/bazo itd).

edit/ Od 21:30 casa naprej.

Zgodovina sprememb…

spremenilo: bajsibajsi (15. mar 2021 ob 22:46)

poweroff :: 15. mar 2021, 23:40

Ja, to sem sicer gledal, ampak mi ni preveč všeč. Najraje bi rešil na hard način, s firewallom...

sudo poweroff

shm :: 16. mar 2021, 10:37

Lahko probaš rešit na ta način: https://github.com/chaifeng/ufw-docker#...

poweroff :: 16. mar 2021, 18:05

What da... OK.

Tale zadnji link mi je ful pomagal, ampak je potrem treba narediti še nekaj drugega.

Najprej rečemo:

sudo ufw route deny proto tcp from any to any port 8080

Tole zablokira dostop do Focker kontejnerja popolnoma.

Potem pa rečemo kaj dovolimo, pri čemer pa je pomemben vrstni red (zato pravilo dodamo na začetek):

sudo ufw route insert 1 allow proto tcp from 192.168.56.1 to any port 8080

Pri pregledu pravil pa je naš prijatelj ukaz:

sudo ufw status numbered

Zaenkrat je videti, da to deluje oz. reši moj problem.

sudo poweroff

Vredno ogleda ...

	Tema	Sporočila	Ogledi	Zadnje sporočilo
	Tema	Sporočila	Ogledi	Zadnje sporočilo
»	Raspberry Pi + Home Assistant (strani: 1 2 3 4 5 ) cupax Oddelek: Strojna oprema	219	38130 (4968)	fulgur 5. maj 2024 14:15:25
»	Rsync preko SSH na Synology NAS poweroff Oddelek: Operacijski sistemi	9	487 (392)	poweroff 8. apr 2020 09:25:19
»	PM2 (Node.js Process Manager) in uporabniki dunda Oddelek: Operacijski sistemi	6	759 (695)	dunda 17. jun 2019 11:15:19
»	Nekaj je gnilega v deželi x86 (strani: 1 2 3 ) jype Oddelek: Novice / Varnost	140	27388 (20736)	jukoz 5. jun 2017 13:14:36
»	Blokiranje interneta specifičnemu uporabniku? poweroff Oddelek: Omrežja in internet	8	1289 (933)	AndrejO 27. mar 2015 15:17:38

Več podobnih tem

Zadnje novice

Zadnji članki

Išči:

Forum » Programiranje »
[docker] Kako omejiti dostope na IP naslov

[docker] Kako omejiti dostope na IP naslov