Рейтинг:0

Предотвращение доступа контейнера Docker к Интернету, кроме SSH, DNS и SMTP

флаг th

У меня есть док-контейнер с SSH-сервером, HTTP-сервером и SMTP-клиентом (который должен разрешать доменные имена).

Кроме того, я хотел бы запретить доступ контейнера к Интернету.

Я использую правила из https://github.com/chaifeng/ufw-докер чтобы не открывать порты контейнера в Интернете, но это, вероятно, другая история.

Добавление

ufw route deny с 172.25.0.4 на любой

действительно предотвращает контейнер (внутренний IP 172.25.0.4, полученный с помощью докер проверяет) от доступа к Интернету, а HTTP-сервер по-прежнему доступен.

Для DNS и SMTP, кажется, помогает, добавлено перед предыдущее правило:

ufw route разрешает proto udp с 172.25.0.4 на любой порт 53

маршрут ufw разрешает с 172.25.0.4 на любой порт 587

Однако я не могу заставить работать SSH (Интернет -> контейнер). Подключается нормально без Отрицать правило, но как только оно добавлено, соединение завершается сбоем, и UFW сообщает о блокировке портов, которые кажутся не связанными с портом 22 (например, SPT=49733 DPT=28316).

Что мне не хватает и как я могу разрешить SSH-трафик в контейнер?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.