Tại sao UFW không chặn các cổng đã bị lộ bằng docker?

Tôi đã thiết lập một số quy tắc trên ufw của mình nhưng tôi nghĩ nó không chặn bất cứ thứ gì. Đây là tình trạng hiện tại của nó:

~# ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
27015:27115/udp            ALLOW IN    Anywhere
27015:27115/tcp            ALLOW IN    Anywhere
22 (v6)                    ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
27015:27115/udp (v6)       ALLOW IN    Anywhere (v6)
27015:27115/tcp (v6)       ALLOW IN    Anywhere (v6)

Như bạn có thể thấy, nó đang từ chối các kết nối đến theo mặc định và chỉ cho phép một số cổng nhất định. Tuy nhiên, tôi vẫn vừa thiết lập một dịch vụ mới trên cổng 8083 và tôi có thể truy cập nó từ bên ngoài. Tại sao nó như vậy?

Tôi đã sử dụng một container docker để chạy dịch vụ mới này, trong trường hợp có vấn đề.

firewall docker ufw

— Ivan
nguồn

Bạn có thể tải lại UFW không? Bạn đã thử khởi động lại máy chủ chưa? Có quy tắc trong iptables? Vui lòng thêmiptables -L

— Christopher Perrin

Cảm ơn, nhìn vào đầu ra iptables -L tôi phát hiện ra rằng docker trực tiếp chỉnh sửa iptables. Tôi có thể ghi đè lên điều này bằng cách thay đổi cấu hình docker

— Ivan

Nó có vẻ như

Docker ngăn chặn trực tiếp với IPTables

. Có thể ghi đè hành vi này bằng cách thêm --iptables = false vào trình nền Docker.

Chỉnh sửa / etc / default / docker và bỏ ghi chú dòng DOCKER_OPTS:

DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 --iptables=false"

Tác giả đã kết luận như sau:

UFW không cho bạn biết trạng thái thực sự (không gây sốc, nhưng vẫn còn).

Không bao giờ sử dụng tùy chọn -p (hoặc -P) trong Docker cho những thứ bạn không muốn công khai.

Chỉ liên kết trên giao diện loopback hoặc IP bên trong.

— Ivan
nguồn