Как сохранить правила Iptables если установлен docker?

Question

[Сергей Дегтяр]

Столкнулся с проблемой сохранения правил фаервола если установлен docker. Сохраняются и его правила соданние автоматически что не хотелось бы. Как правильно организовать работу iptables c докером.
На форуме видел что рекоменуют отключать firewall докера и контейнеры в проде вешать на host

Comments

[shurshur]

Совет использовать host network namespace однозначно вредный, кроме каких-нибудь личных тестов или специфических случаев типа VPN-клиента в докере. Сетью в докере надо уметь пользоваться с умом, а не пытаться этого избегать.

Что касается сохранения правил, то у меня был когда-то скрипт генерации правил с нуля, а после появления докера понадобилось его правила сохранять, ну я и сделал скрипт, который выделяет и сохраняет текущие правила докера, генерит новые правила и добавляет сохранённые к ним. Но после первичных тестов мы решили для прода просто выключить iptables в докере и работать с сетью через macvlan, так что этот костыль не понадобился.

[Сергей Дегтяр]

shurshur, Никогда не юзал macvilan надо почитать что за штука такая

[shurshur]

Сергей Дегтяр, это для варианта, когда в локальную сеть контейнеры выставляются со своими отдельными адресами. Мы заодно получили возможность переносить контейнеры между серверами в пределах датацентра, не дёргая админа-сетевика для переписывания nat, как приходилось делать до этого (и как приходится делать до сих пор на другой платформе с намного более значительным числом приложений).

Answer 1

[Dmitry]

остановать докер. сохранить правила. запустить докер.

правила докера теперь будут добавляться поверх ваших правил. для вас, как для администратора сервера из правил докера важна только цепочка DOCKER-USER , туда можете добавлять запрещающие и разрешающие правила касающиеся ваших контейнеров.

Comments

[Сергей Дегтяр]

останавливать докер как-то не хо в проде

[Dmitry]

Сергей Дегтяр, это надо было до разворота приложений делать конечно...