Les règles UFW ne fonctionnent pas avec Docker

8

J'ai un serveur 12.04.4 et j'ai activé ufw et j'ai essayé de bloquer le port 8080. Cependant, il est toujours ouvert.

$ sudo ufw deny 8080
Rule added
Rule added (v6)

$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 8080                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    Anywhere (v6)
[ 5] 80                         ALLOW IN    Anywhere (v6)
[ 6] 8080                       DENY IN     Anywhere (v6)

Pensées? Je peux toujours accéder au site Web 8080. J'ai redémarré le système plusieurs fois. L'adresse IP est gérée via une attribution statique, mais je ne trouve rien qui indiquerait que c'est le problème.

Le service que j'essaie de bloquer se trouve sur une instance de docker, mais cette question n'a pas aidé.

jrg
la source
Voulez-vous les deux protocoles ou est-ce important? Et avez-vous installé gufw?
Seth
Je suppose également que vous n'avez pas bricolé avec iptables.
Seth
@Seth, le système est uniquement ipv4, donc je me fiche de la v6. Et non, je ne l'ai pas fait.
2014
Je voulais dire tcp / udp.
Seth
J'ai besoin de TCP bloqué, il n'y a rien sur ce port udp.
2014

Réponses:

4

Le modèle de docker que j'utilise est pour Discourse. Je l'ai résolu en modifiant le containers/app.ymlfichier pour l'inclure dans la section `` exposer '':

 - "127.0.0.1:20080:80"

Cela signifie qu'il achemine le port 20080 sur 127.0.0.1 vers le port 80 sur l'instance de docker, supprimant ainsi la nécessité d'une règle ufw.

jrg
la source
1

Je l'ai testé.

Lorsque j'entre la commande:, sudo ufw deny 80je pouvais me connecter à moi-même, mais aucun autre hôte ne le pouvait.

Je vous suggère d'essayer de vous connecter depuis un autre que vous.

xiaodongjie
la source
Aha, je me demandais si ça pouvait être ça.
Seth
Je suis connecté au serveur de l'autre côté du pays et j'accède au système avec succès à partir de mon navigateur Web local.
2014