Как закрыть доступ к Docker средствами UFW?

Question

[Максимилиан Тимофеев]

Есть сервер на котором запущен docker, слушающий на порту 4321. Стоит цель: запретить доступ к docker из вне.
Для этого использую UFW.
Результат настроек:
$ ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

To Action From
-- ------ ----
80 ALLOW IN Anywhere
22 ALLOW IN Anywhere
4321 DENY IN Anywhere
80 (v6) ALLOW IN Anywhere (v6)
22 (v6) ALLOW IN Anywhere (v6)
4321 (v6) DENY IN Anywhere (v6)

Но к docker по прежнему можно достучаться из вне через порт 4321.

Comments

[matperez]

Как проверяете доступность докера извне?

[Максимилиан Тимофеев]

Делаю запрос по ip адресу на котором располагается сервер и порту на котором слушает docker. В ответ получаю содержимое docker.

Answer 1

[Treal]

через iptables порт закрыть для остальных, оставить для себя.

Answer 2

[Сергей Рогожкин]

Никак, даже через iptables. Докер только сам может ограничить доступ. Используйте директиву --network=host при старте контейнера, чтобы он пробрасывал порты не в дефолтную сетку bridge, а только для хоста, извне недоступную.