小编flo*_*wit的帖子

nftables 白名单 docker

我的机器上运行着两个 docker 容器,其中非常严格的 nftables 配置处于活动状态。我想保持这种方式,但将外部对 docker 容器的访问列入白名单。

容器打开端口 80 和 6200。docker 服务在禁用 iptables 的情况下启动。

以下是当前的防火墙配置,包括我的尝试。icmpsshhttphttps已经开放。对于 docker,只需要 http 端口 80 和应用程序特定端口 6200。我尝试只允许访问 docker,以192.168.0.0/16尽可能地限制。

 table inet filter {
    chain input {
            type filter hook input priority 0; policy drop;
            iif lo accept
            iif eno2 icmp type echo-request accept
            iif eno2 ip 192.168.0.0/16 tcp dport 22 accept
            iif eno2 ip 192.168.0.0/16 tcp dport { http, https, 6200 } accept
    }

    chain forward { …
Run Code Online (Sandbox Code Playgroud)

docker nftables

6
推荐指数
1
解决办法
1万
查看次数

标签 统计

docker ×1

nftables ×1