我有一个 ubuntu vps,主要用它来运行一堆 docker 容器。但是,一个服务(从主机收集指标)正在主机本身上运行。我如何才能阻止除 docker 之外的任何地方访问其端口?我拼凑起来
iptables -I DOCKER-USER -i '!docker0' -p tcp --dport 9100 -j DROP
(docker docs 告诉使用 DOCKER-USER 来设置在其他 docker 自动设置规则之前执行的规则)
但这并没有阻止任何东西,我仍然可以从互联网访问该端口。我自己没有设置任何其他规则。我发现的大多数答案都说“删除‘允许所有’规则”,但我没有创建,如果我运行 iptables-save,我看不到任何类似的东西
答案1
我不太了解 iptables,docker 文档误导了我。DOCKER-USER 仅替换 FORWARD(出于某种原因,我以为它适用于所有内容);我应该改用 INPUT