Nõuded: Privaatne kodualbumi süsteem ehitati Dockeri konteinerite abil, mis on piiratud kodu LAN-i ligipääsu ja vaatamisega, sest Dockeri pildi arendab kolmanda osapoole arendaja ja ma ei tea, kas see on turvaolukordTekita privaatsusrikkumisiSelle probleemi paremaks lahendamiseks tahame lisada privaatsuse garantii, keelates Dockeri konteineritel pääseda Internetti (välisvõrku).
See artikkel kasutab CentOS7 süsteemi, Dockeri versioon: 20.10.20, ning kasutab nginx-pilte testide tegemiseks.
Internetiühendus (ekstranet) on vaikimisi lubatud
Loo uus nginx-konteiner, mis pakub veebiteenuseid, millele pääseb ligi18080 Portipääs, konteiner pääseb vaikimisi Internetti (välisvõrku), käsk on järgmine:
Sisesta konteiner ja küsi selle saidi ressursse curl-käsu kaudu, mida saab tavapäraselt saada, nagu alloleval joonisel näidatud:
Dockeri konteinerite internetiühenduse keelamine (ekstranet)
Esiteks peame looma kohandatud võrgu dockeri kaudu ja looma virtuaalse võrgukaardi järgmise käsuga:
Sea virtuaalses NIC-is iptables kaudu reegel, mis keelab internetiühenduse järgmise käsuga:
Sõltumata sellest, kas iptables teenus on saadaval või mitte, sõltumata sellest, kas tulemüür on sisse lülitatud või mitte,iptables reeglid, mis lisati käsuga, jõustuvad koheselt!!!
Märkus: See plaan on asjakohaneKui erinevad konteinerid liituvad sama võrguga, ei saa konteinerid omavahel suhelda!!!!
Vaadake allpool näidatud DOCKER-USER reeglit:
Loo uus nginx konteiner uuesti, konteiner pakub veebiteenust ja18081 Sadam pakub teenuseid välismaailmale ning konteineril on keelatud pääseda internetti (avalikku võrku), käsk on järgmine:
Oleme oma eesmärgi saavutanud, aga,Pärast serveri taaskäivitamist kaovad iptable'is loodud reeglidKuidas saame automaatselt laadida oma kohandatud reegleid pärast serveri taaskäivitamist?
Käsku iptables-save kasutatakse iptables tabeli eksportimiseks Linuxi tuumas standardsele väljundtarnijale, tavaliselt kasutades shelli I/O suunamise funktsiooni, et salvestada väljund kindlaksmääratud faili.
Salvesta olemasolev iptables reegel
Lisa taastada iptables reegel boot boot'ile, boot boot fail on /etc/rc.d/rc.local, muuda faili ja lisa järgmine käsk lõppu:
Lõpuks lisa täitmisluba järgmise käsuga:
Kui seaded on tehtud, kehtivad iptable'i reeglid ka siis, kui server taaskäivitatakse.
Kõik konteineritel Dockeris on keelatud internetti (ekstranet) kasutada.Testimata, käsk on järgmine:
(Lõpp)
|
Postitatud 2022-12-14 22:53:18
|
|
|
|
Postitatud 2022-12-16 21:14:15
|
Üürileandja|
Postitatud 2023-1-2 17:43:19
|
