我有一个问题,尽管 iptables 配置旨在限制访问,但暴露给我们系统上运行在 docker 容器中的应用程序的端口仍然对世界开放。
在我看来,问题可能与 docker 守护进程在启动时向 iptables 添加规则有关。我也知道的标志--icc=true|false,--ip-forward=true|false而--iptables=true|false但我不知道我应该将这些标志的组合。我试过了--icc=false,--ip-forward=false但都没有达到预期的效果。我不喜欢使用,--iptables=false因为 docker 守护进程显然添加了许多规则,如果仍然需要它们,我必须手动配置。
这是 docker 守护进程启动之前的规则状态:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
0 0 REJECT all -- !lo any anywhere loopback/8 reject-with icmp-port-unreachable
0 0 DROP tcp -- any any anywhere anywhere tcpflags:! FIN,SYN,RST,ACK/SYN state NEW
0 0 DROP …