我已经设置了一个pi-hole docker容器,并暴露了CentOS7上的dns端口和端口80。 但是,这些端口现在可用于所有来源,因为它运行在VPS上,因此并不方便。
所以我试图让FirewallD过滤去往我的Docker容器的流量。
所以我的docker容器正在按以下方式运行:
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
18881454da0c pihole/pihole:latest "/s6-init" 24 hours ago Up About an hour (healthy) 0.0.0.0:53->53/tcp, 0.0.0.0:80->80/tcp, 0.0.0.0:53->53/udp pihole
在firewallD上,我已经设置了以下acl(由此可以很好地过滤进入CentOS的流量):
sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: docker0
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="<home ip>/32" accept
并且我已经将docker0接口设置为zone public:
sudo firewall-cmd --permanent --zone=public --change-interface=docker0
sudo firewall-cmd --get-active-zones
public
interfaces: docker0
但是当我从互联网上进行端口扫描时,我仍然看到所有docker暴露的端口。
我可以使用iptables命令解决此问题:
sudo iptables -N CUSTOM_PIHOLE
sudo iptables -A CUSTOM_PIHOLE --source <home ip> --destination 172.17.0.2 -j ACCEPT
sudo iptables -R DOCKER 1 --source 0.0.0.0/0 --destination 172.17.0.2 -j CUSTOM_PIHOLE
sudo iptables -D DOCKER 3
sudo iptables -D DOCKER 2
但是当firewallD重新加载时,此配置丢失了。
是否有一种使用firewallD过滤到docker-container的流量的方法?
答案 0 :(得分:1)