Quais são os endereços IP nas configurações FORWARD da minha cadeia de iptables em uma configuração Dokku / docker?

Question

Quais são os endereços IP nas configurações FORWARD da minha cadeia de iptables em uma configuração Dokku / docker?

#1 resposta do hwez (1 votos)

1

Eu tenho brincado com Dokku em DigitalOcean (seguindo guia) e estou tentando entender as configurações atuais do firewall.

Então aqui está minha configuração:

Ubuntu 14.04
Dokku
- Docker (como parte do Dokku)
- PostgreSQL dentro do meu contêiner Dokku (usando o dokku-postgresql-plugin )
fail2ban (eu instalei isso sozinho, não fazia parte do modelo Dokku)

O que eu não consigo entender são as configurações do Chain FORWARD - especificamente os endereços IP próximos a tcp dpt:5000 e tcp dpt:postgresql .

me:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             XXX.17.0.50          tcp dpt:5000
ACCEPT     tcp  --  anywhere             XXX.17.0.2           tcp dpt:postgresql
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
me:~$

Eu acho que os endereços IP XXX.17.0.Y são originados dentro do meu contêiner Docker - isso é um palpite justo? Supondo que seja o caso, eles provavelmente não são acessíveis ao mundo exterior, correto?

O que eu estou tentando fazer é ter configurações de firewall seguras e razoáveis; por exemplo, bloqueie todas as entradas, exceto SSH, HTTP & amp; HTTPS Eu só quero ter certeza de que entendi as configurações existentes antes de continuar.

por Rob 23.06.2014 / 13:11

1 resposta

Não é possível instalar o Inkscape no Ubuntu 14.04 [duplicado] Falha ao carregar o GRUB

score 1 · Accepted Answer

bloqueia tudo ou fecha todas as portas | & amp; usar apenas ssh & amp; http & amp; https apenas abrir seus portos -

flush para ser confundido que você sabe o que já está definido

$ iptables -F

depois, solte tudo

$ iptables -P INPUT DROP

1º para porta ssh:

IPTABLES para abrir a porta 22

$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

2º para http & amp; porta https:

permite conexões HTTP e HTTPS de qualquer lugar.
"portas padrão para sites" / http 80, https 443.

$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

Por fim, feche todos os outros tráfegos:

$ iptables -A INPUT -j DROP

Todos

$ iptables -F
$ -P INPUT DROP
$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
$ iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT 
$ iptables -A RH-Firewall-1-INPUT -p icmp -j ACCEPT
$ iptables -A INPUT -j DROP

OU

$ iptables -F
$ iptables -P INPUT DROP
$ iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
$ iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
$ iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
$ iptables -A RH-Firewall-1-INPUT -p icmp -j ACCEPT
$ iptables -A INPUT -j DROP