Как настроить iptables чтобы порт был доступен только внутри docker, loopback и для 1 внешнего айпи?

Question

[SmilinkgKnight]

Я настроил таким образом и в итоге: порт недоступен с localhost, недоступен в сетях докера, но доступен любому внешнему айпи. В чем ошибка?

iptables -N chain1
iptables -A chain1 --src 1.2.3.4 -j ACCEPT
iptables -A chain1 -j DROP
iptables -I INPUT -m tcp -p tcp --dport 1111 -j chain1

Answer 1

[Дмитрий]

почему ты делаешь это в INPUT ? тебе нужно работать с транзитным трафиком. Для этого есть даже специальная цепочка, которую докер при установке сделал - DOCKER-USER.
И по традиции - документация https://docs.docker.com/network/packet-filtering-f...

Comments

[SmilinkgKnight]

спасибо. а можно как-то применить правило только для одной специальной docker network, а не для всех?

[Дмитрий]

SmilinkgKnight, хороший вопрос, думаю можно посмотреть какие адреса докер выделил для этой сети и использовать это в правилах iptables . Для верности адреса сети можно зафиксировать в docker-compose.yml , чтото типа

networks:
  default:
    ipam:
      config:
        - subnet: 172.177.0.0/16