Как ограничить доступ к порту на докер контейнере?
Всем привет
У меня есть докер контейнер, который мапит порт систем 8080 на свой порт 6000. И мне нужно написать правило в iptables, которое будет блочить порт 8080.
Пробую сделать вот так:
iptables -D DOCKER-USER -p tcp --dport 8080 -j DROP
но не работает. Полагаю, что в таком случае iptables дропает пакеты на внутренний порт докера, а не на хосте системы
А вот какой ключик указать чтобы оно дропало на хост системе коннект, чет не могу найти ((
может кто нибудь знает?
p.s.
пробовал сделать вот так, тоже не взлетает
iptables -A DOCKER-USER -i any -p tcp -m conntrack --ctorigdstport 8080 --ctdir ORIGINAL -j DROP
Чтобы не было доступа к контейнеру можно изначально его не открывать.
Например не публиковать порт, если это приложение нужно другому контейнеру. Или публиковать порт на локалхост, а не на все интерфейсы.
