UFW-Regeln funktionieren nicht mit Docker

8

Ich habe einen 12.04.4-Server und habe ufw aktiviert und versucht, den Port zu blockieren 8080. Es ist jedoch noch offen.

$ sudo ufw deny 8080
Rule added
Rule added (v6)

$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 8080                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    Anywhere (v6)
[ 5] 80                         ALLOW IN    Anywhere (v6)
[ 6] 8080                       DENY IN     Anywhere (v6)

Gedanken? Ich kann immer noch auf die Website 8080 zugreifen. Ich habe das System mehrmals neu gestartet. Die IP-Adresse wird über eine statische Zuweisung behandelt, aber ich kann nichts finden, was darauf hindeutet, dass dies das Problem ist.

Der Dienst, den ich blockieren möchte, befindet sich auf einer Docker-Instanz. Diese Frage hat jedoch nicht geholfen.

jrg
quelle
Möchten Sie beide Protokolle oder spielt es eine Rolle? Und hast du gufw installiert?
Seth
Ich gehe auch davon aus, dass Sie nicht an iptables herumgebastelt haben.
Seth
@ Seth das System ist nur ipv4, also ist mir v6 egal. Und nein, habe ich nicht.
jrg
Ich meinte tcp / udp.
Seth
Ich brauche TCP blockiert, es gibt nichts auf diesem UDP-Port.
jrg

Antworten:

4

Die Docker-Vorlage, die ich verwende, ist für den Diskurs. Ich habe es gelöst, indem ich die containers/app.ymlDatei so bearbeitet habe, dass sie in den Abschnitt "Belichten" aufgenommen wird:

 - "127.0.0.1:20080:80"

Dies bedeutet, dass Port 20080 auf 127.0.0.1 an Port 80 auf der Docker-Instanz weitergeleitet wird, sodass keine UFW-Regel mehr erforderlich ist.

jrg
quelle
1

Ich habe es getestet.

Wenn ich den Befehl eingebe : sudo ufw deny 80, konnte ich mich mit mir selbst verbinden, andere Hosts jedoch nicht.

Ich schlage vor, Sie versuchen, eine Verbindung von einer anderen Person als Ihnen herzustellen.

Xiaodongjie
quelle
Aha, ich habe mich gefragt, ob das das sein könnte.
Seth
Ich bin auf dem Server auf der anderen Seite des Landes angemeldet und greife über meinen lokalen Webbrowser erfolgreich auf das System zu.
jrg