Как разрешить доступ к MongoDB, которая находится в Docker'е, только определенным ip адресам?

Question

[BannedOnStackoverflow]

Всем доброго вечера.
Суть моей проблемы: монго в докер контейнере стоит на отдельном сервере. Мне нужно разрешить только определенным айпи коннектиться к 27017-му порту монги. С настройкой Iptables у меня совсем туго, пытался настроить по гайду с офф сайта монги, но ничего не вышло, соединение было доступно с любого айпи, видимо мне не удалось переопределить установки докера, которые по дефолту раскрывают порты "всему миру".
Заранее спасибо.

Answer 1

[Tyranron]

Через iptables и делается. Все правильно пробовали.
Осталось только чуть больше исследовать тему. Вам нужно использовать FORWARD chain, а не INPUT, а INPUT только если Вы делаете --network=host.
Эта статья должна прояснить ситуацию:
tomasre.com/2016/03/07/securing-coreos-with-iptables

Answer 2

[Taki Lazy]

Попробуй так:

/sbin/iptables -I FORWARD 1 -s xxx.xxx.xxx.xxx -p tcp --dport 27017 -j ACCEPT
/sbin/iptables -I FORWARD 2 ! -s 172.16.0.0/12 -p tcp --dport 27017 -j DROP

Только это нужно выполнять после старта сервиса докера иначе эти правила окажутся внизу. Ну и после рестарта сервиса тоже нужно их обновлять, эту часть пока не победил.

Answer 3

[Анатолий Евладов]

Вам "не удалось" перебороть настройки не докера, а того же iptables, только таблицы не filter а nat.
Соответственно и копать нужно туда. Докер просто использует те же самые правила что и вы.
Но - я не знаю что будет если вы их поменяете а потом перезапустите контейнер например. Вполне возможно что ничего хорошего.
Сам подобным вопросом недавно интересовался, но не доразбирался можно ли так сделать. Так что если решите данную проблему - отпишитесь пожалуйста как вы это сделали. Тоже интересно :)

Comments

[BannedOnStackoverflow]

Все верно, не могу правильно настроить iptables. Видимо не очень удачно составил описание вопроса. Если найду способ - обязательно отпишусь :)

[Анатолий Евладов]

BannedOnStackoverflow: настроить - не проблема, проблема в том что при каждом рестарте оно может всё это дело ломать...

[Tyranron]

Анатолий Евладов: чтобы ничего не ломалось, и не нужно руками лазать в nat таблицу. Лучше вообще не лазать, ибо это идет в обход идеологии и логики работы iptables. Под фильтрацию трафика выделена таблица filter, в рамках неё и нужно оставаться, если задача именно фильтровать трафик. А дальше - только ловкость рук в орудовании цепочками правил =)

[Анатолий Евладов]

Tyranron: понятно, т.е. пускаем контейнеры через --network=host и не имеем проблем? Обязательно попробую.
Про FORWARD тоже попробую, спасибо за направление :)

[Tyranron]

Анатолий Евладов ну вот если прямо все-все контейнеры пускать через сеть хоста, то, я думаю, проблемы очень быстро вылезут в конфликте контейнеров, если их используется много, ведь все слушается на стандартных портах, как правило.
Сеть хоста нужно использовать только тогда, когда Вам это действительно требуется. В остальных случаях - не заморачиваться.

[Анатолий Евладов]

Tyranron: вооот :) но я понял - смотрим на Forward. Просто не смотрел на него т.к. считал что т.к. используется нат - правила фильтров уже не сработают. Но посмотреть - посмотрю. Если заработает - будет замечательно :)

[Tyranron]

Анатолий Евладов да, гуляние пакета между таблицами iptables нельзя назвать очевидным, но диаграммы, проясняющие сложную жизнь пакета, слава Богу гуглятся легко. Вот, например:
https://wiki.archlinux.org/index.php/Iptables#Basi...
Держу всегда под рукой =)

[Tyranron]

И вот: https://www.frozentux.net/iptables-tutorial/images...

[Анатолий Евладов]

Tyranron: Вот за диаграмму - просто огромнейшее спасибо! честно говоря даже мысль не появилась что подобное существует...(
Обязательно изучу. Теперь думаю тоже смогу разобраться как там что устроено :)