Discussion :

[millie]

Bonjour,

Je commence à devenir un peu marteau sur un problème.

J'ai un ubuntu 17 avec un docker 18.
J'ai Nginx installé directement sur ubuntu qui est censé être le point d'entrée dans l'ensemble des requêtes sur le site.
À noter que le docker ne me sert qu'à faire des tests, et les "vrais" services qui tournent ne sont pas sur docker.

Je souhaiterai que les ports exposés publiquement sur docker ne soit accessible qu'au niveau du serveur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
root@server:/etc/docker# docker container ls | grep 8080
a8dbd243a1b9        rancher/server                       "/usr/bin/entry /usr…"   8 days ago          Up 41 minutes       3306/tcp, 0.0.0.0:8080->8080/tcp              suspicious_pare

Typiquement, ici, a priori, c'est open bar et on peut accéder au port 8080 du net.

Je n'arrive pas à empêcher que le port (ici 8080) soit accessible via le net. Avez-vous déjà eu le soucis ?

Evidemment, car sinon, cela serait trop simple. Un firewall comme ufw a des soucis avec docker (car docker prend la priorité au niveau des iptables, pour je ne sais quelle raison)

merci,
millie

[yildiz-online]

Tu peux mettre iptables à false dans le fichier de config /etc/docker/daemon.json

https://docs.docker.com/network/ipta...-docker-daemon

Ca devrait être par défaut...

[millie]

C'était inactif par défaut, je l'avais rajouté (il y a deux semaines peut être).
Et cela reste malheureusement open bar

Cependant, je constate que j'ai l'iptables qui est rempli avec des règles DOCKER quand docker est arrêté.
Je me demande s'il faudrait pas nettoyer un bazar... Peut être que des règles traînent suite à un démarrage en mode iptables=true

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
root@ns300:/etc/docker# service docker stop
root@ns300:/etc/docker# iptables -L

CATTLE_NETWORK_POLICY  all  --  10.42.0.0/16         10.42.0.0/16
CATTLE_FORWARD  all  --  anywhere             anywhere
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere


Chain CATTLE_FORWARD (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             mark match 0x1068
ACCEPT     all  --  anywhere             anywhere             mark match 0x4000
ACCEPT     all  --  anywhere             10.42.0.0/16

Chain CATTLE_NETWORK_POLICY (1 references)
target     prot opt source               destination

Chain DOCKER (1 references)
target     prot opt source               destination

Chain DOCKER-ISOLATION (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere


root@ns300:/etc/docker# grep DOCKER_OPTS /etc/default/docker | grep -v "#"
DOCKER_OPTS="--iptables=false"

root@ns300:/etc/docker# service docker start

[millie]

Au prix d'un défonçage massif de l'iptable qui m'a obligé à passer en mode rescue sur le serveur vu que j'ai perdus l'accès SSH. Je confirme que l'option n'est pas suffisante

[yildiz-online]

Avec compose, il me semble que les accès inter images se font au sein du vlan mais faut que je vérifie

[millie]

Plusieurs personnes conseillent l'option : DEFAULT_FORWARD_POLICY="ACCEPT"

Sauf que... Je n'arrive pas trop à comprendre les implications de cette option