Я добавил правило в DOCKER-USER которое дает доступ к портам только 1 айпи, но теперь из контейнеров нельзя выйти в интернет. Как поправить?

Question

[SmilinkgKnight]

sudo iptables -I DOCKER-USER -i ens3 ! -s IP/24 -j DROP

- правило которое я добавил и теперь мои контейнеры не могут выйти в интернет(curl api.ipify.org). Подозреваю что нужно разрешить исходящие соединения, но как?

Answer 1

[Valentin Barbolin]

sudo iptables -I DOCKER-USER -i ens3 ! -s IP/24 -j DROP

Дава расшифруем что ты написа: блокировать ВСЕ что зашло через интерфейс ens3 кроме одной подсети. В результате твои контейнеры отправляют запросы, а ответы блокируются этим правилом.

Надо указать порт, пример для web сервера

sudo iptables -I DOCKER-USER -i ens3  ! -s IP/24 -p tcp -m tcp --dport 80 -j DROP

Comments

[SmilinkgKnight]

Спасибо, а можно все-таки к моему правилу написать какое-то исключение чтоб оно работало так как я написал?

[SmilinkgKnight]

Сервисы под реверс прокси находятся, мне нужно чтобы наружу были только 80 и 443. Остальных портов много, неужели каждый закрывать?

[Valentin Barbolin]

SmilinkgKnight, Зачем высовывать порты, что бы потом закрывать их firewall ?

чтобы наружу были только 80 и 443. Остальных портов много, неужели каждый закрывать?

80 и 443 доступны всем, а остальные порты доступны только подсети -s IP/24 ?

[SmilinkgKnight]

Valentin Barbolin, порты нужны паре серверов на прямой доступ. Для всех остальных только 80 и 443. Мое правило + открытие 80 и 443 работает. Но контейнеры не могут выйти в инет.

[Valentin Barbolin]

SmilinkgKnight,

порты нужны паре серверов на прямой доступ.

И там тисяча портов?

Answer 2

[Alexey Dmitriev]

Удалите свое правило, перегрузите докер и не трогайте больше таблицы iptables DOCKER, ими управляет сам докер.

Comments

[Valentin Barbolin]

DOCKER-USER - как раз цепочка для кастомных правил.

[Alexey Dmitriev]

Valentin Barbolin, спасибо, не знал про это.