Найти в Дзене
BASH DAYS | Linux Factory
1215 подписчиков

Как подружить docker и iptables

319
2 мин
Почему перестают работать очевидные правила iptables на хостовой машине, если на сервере запущены какие-либо docker контейнеры?
Давай разбираться.
Если коротко, то когда ты запускаешь docker контейнеры, то все начинает работать через одно место, по правилам маршрутизации самого docker’а. И плевать он хотел что у тебя там на хостовой машине было ранее сконфигурировано в плане безопасности.
Давай рассмотрим на примере как с этим можно побороться.
Вводные: На сервере крутится контейнер nginx, порты 80 и 443 смотрят в мир, то есть открыты для всех.
Задача: Нужно, чтобы порты 80 и 443 были доступны только для определенных IP адресов.
Если бахнуть на хостовой машине так:
-A INPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80,443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
То порты 80 и 443 так же будут доступны всем желающим. Вот на эти грабли почти каждый и наступает.
А решение простое, правим немного свой
Оглавление

Почему перестают работать очевидные правила iptables на хостовой машине, если на сервере запущены какие-либо docker контейнеры?

Давай разбираться.

Если коротко, то когда ты запускаешь docker контейнеры, то все начинает работать через одно место, по правилам маршрутизации самого docker’а. И плевать он хотел что у тебя там на хостовой машине было ранее сконфигурировано в плане безопасности.

Давай рассмотрим на примере как с этим можно побороться.

Вводные: На сервере крутится контейнер nginx, порты 80 и 443 смотрят в мир, то есть открыты для всех.
Задача: Нужно, чтобы порты 80 и 443 были доступны только для определенных IP адресов.

Если бахнуть на хостовой машине так:

-A INPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80,443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

То порты 80 и 443 так же будут доступны всем желающим. Вот на эти грабли почти каждый и наступает.

А решение простое, правим немного свой docker-compose.yml и добавляем networks. В моем примере я добавил сеть bashdays.

version: '3.2'

services:
nginx:
image: nginx:1.20.1
container_name: nginx
ports:
- '80:80'
- '443:443'
networks:
- bashdays

networks:
bashdays:
driver: bridge
driver_opts:
com.docker.network.enable_ipv6: "false"
com.docker.network.bridge.name: "docker_bashdays"

Ну и теперь на хостовой машине можно уже что-то запрещать или разрешать с помощью iptables.

/sbin/iptables -F DOCKER-USER
/sbin/iptables -I DOCKER-USER -i eth0 -o docker_bashdays -j DROP
/sbin/iptables -I DOCKER-USER -i eth0 -s <EXTERNAL IP> -j RETURN
/sbin/iptables -I DOCKER-USER -i eth0 -p tcp --dport 80 -s <CLIENT IP> -j RETURN
/sbin/iptables -I DOCKER-USER -i eth0 -p tcp --dport 443 -s <CLIENT IP> -j RETURN
/sbin/iptables -I DOCKER-USER -i eth0 -o docker_bashdays -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Где <EXTERNAL IP> это айпишник сервера который доступен из мира. А <CLIENT_IP> собственно айпишник клиента, которому мы разрешим конектится к порту 80 и 443. Все! Теперь у нас и docker в шоколаде и хостовые правила iptables работают «наверное» правильно.

Подпишись на BashDays в телеграм


Не забывай правильно подставить свой интерфейс ethX/enoX, а то всякое бывает.

Важное замечание. После перезапуска контейнеров, docker снова перетрет правила на хостовой машине. Поэтому весь этот процесс хорошо бы автоматизировать.

Рекомендую почитать

Strace на практике #1
BASH DAYS | Linux Factory6 февраля 2024
База данных на Bash
BASH DAYS | Linux Factory6 февраля 2024
Делаем свой бесплатный Nginx Plus
BASH DAYS | Linux Factory24 января 2024
Чем отличаются [[ ]] от [ ] в Bash скриптах
BASH DAYS | Linux Factory23 января 2024
Чем отличается su от sudo
BASH DAYS | Linux Factory20 января 2024


2
Гаджеты и электроника
5,73 млн интересуются