Docker блокировка трафика, как сделать?

Question

[kiranananda]

Здравствуйте!

Что то совсем затупил. Есть у меня swarm. И мне надо разрешить только несколько портов для доступа извне, например порт 5000(репозиторий) уж точно туда нельзя ну и какие то локальные сервисы. И все бы хорошо, блочишь себе спокойно в input и радуешься жизни, но все все так весело оказалось.

В таблице nat есть такая тема

Chain DOCKER-INGRESS (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    8   384 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 to:172.18.0.2:8080
19766 1303K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

и весь трафик уходит на докеровский хост 172.18.0.2. И то явно не текущая нода. Как бы так корректно сюда влезть что бы не поломать другие правила? Хочу сделать блокировку всем, а потом уже разрешить кому можно... На худой конец конечно можно и блочить не нужные адреса, но тут больше шансов допустить ошибку...

Answer 1

[kiranananda]

А вроде разобрался, самый быстрый способ, написать сюда и сразу приходят идеи :)...

Хитриые dnat-ы и прочие штуки, плюс еще раз прочтение доков. Вообщем фильтровать надо в цепочке
DOCKER-USER . Тогда все гуд :)