Požadavky: Byl vytvořen soukromý systém domácích alb pomocí Docker kontejnerů, který je omezen na přístup a sledování na domácí LAN, protože obraz Dockeru vyvíjí vývojář třetí strany, a nevím, jestli to bude bezpečnostní situaceGenerujte narušení soukromíAbychom tento problém lépe vyřešili, chceme přidat záruku soukromí tím, že zakážeme Docker kontejnerům přístup k internetu (externí síti).
Tento článek používá systém CentOS7, verze Dockeru: 20.10.20, a používá nginx obrázky k provádění testů.
Přístup k internetu (extranet) je ve výchozím nastavení povolen
Vytvořte nový nginx kontejner, který poskytuje webové služby, jež jsou přístupné18080 Port access, kontejner může ve výchozím nastavení přistupovat k internetu (externí síti), příkaz je následující:
Zadejte kontejner a vyžádejte zdroje tohoto místa pomocí příkazu curl, který lze získat běžně, jak je znázorněno na obrázku níže:
Zakázání přístupu k internetu v kontejnerech Dockeru (extranet)
Nejprve musíme vytvořit vlastní síť přes docker a vytvořit virtuální síťovou kartu pomocí následujícího příkazu:
Nastavte pravidlo na virtuální síťové kartě přes iptables, které zakáže přístup na internet následujícím příkazem:
Bez ohledu na to, zda je služba iptables dostupná či nikoliv, bez ohledu na to, zda je firewall zapnutý nebo ne,Pravidla iptables přidaná příkazem nastávají účinnosti okamžitě!!!
Poznámka: Tento plán je vhodnýPokud se různé kontejnery připojí do stejné sítě, kontejnery spolu nebudou schopny komunikovat!!!!
Podívejte se na pravidlo DOCKER-USER, jak je uvedeno níže:
Znovu vytvořte nový nginx kontejner, kontejner poskytuje webovou službu a18081 Port poskytuje služby vnějšímu světu a kontejner má zakázán přístup k internetu (veřejné síti), příkaz je následující:
Dosáhli jsme našeho cíle, ale,Po restartu serveru zmizí pravidla, která jsme vytvořili v iptablesJak můžeme automaticky načíst naše vlastní pravidla po restartu serveru?
Příkaz iptables-save se používá k exportu tabulky iptables v jádru Linuxu standardnímu dodavateli výstupů, obvykle s využitím funkce přesměrování I/O v shellu k uložení výstupu do specifického souboru.
Uložit stávající pravidlo iptables
Přidejte pravidlo restore iptables do bootovacího systému, bootovací soubor je /etc/rc.d/rc.local, upravte soubor a na konec přidejte následující příkaz:
Nakonec přidejte povolení k vykonání následujícím příkazem:
Po dokončení nastavení pravidla iptables stále nadobudnou platnost i po restartu serveru.
Všechny kontejnery v Dockeru mají zakázán přístup k internetu (extranetu),Netestováno, příkaz je následující:
(Konec)
|
Zveřejněno 14. 12. 2022 22:53:18
|
|
|
|
Zveřejněno 16. 12. 2022 21:14:15
|
Pronajímatel|
Zveřejněno 2023-1-2 17:43:19
|
