限制对 Docker 容器的访问以仅允许 LAN 上的源的正确方法是什么

Question 1

帖子限制互联网访问 - Docker 容器已经接受了 Bilal Usean 的回答：

建立网络以访问互联网

docker 网络创建--subnet=172.19.0.0/16 互联网

创建用于阻止 Internet 访问的网络

docker 网络创建--内部--子网 10.1.1.0/24 无互联网

如果你想将docker容器连接到互联网
docker network connect internet container-name
如果你想阻止互联网访问
docker network connect no-internet container-name
笔记

在内部网络中，我们无法公开端口来连接外部世界，请参考此问题更多细节

Answer

帖子限制互联网访问 - Docker 容器已经接受了 Bilal Usean 的回答：

建立网络以访问互联网

docker 网络创建--subnet=172.19.0.0/16 互联网

创建用于阻止 Internet 访问的网络

docker 网络创建--内部--子网 10.1.1.0/24 无互联网

如果你想将docker容器连接到互联网
docker network connect internet container-name
如果你想阻止互联网访问
docker network connect no-internet container-name
笔记

在内部网络中，我们无法公开端口来连接外部世界，请参考此问题更多细节

Question 2

以下是我最终采用的方法 -https://github.com/chaifeng/ufw-docker

修改UFW配置文件/etc/ufw/after.rules，在文件末尾添加以下规则：

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

唯一的区别是，我修改了所有对 192.168.0.0/24 的引用以匹配我的 LAN。我做了一些小测试，到目前为止，它没有破坏 Docker 内部网络，它保护容器免受公众攻击，并且允许我使用 ufw 创建规则。

Answer

以下是我最终采用的方法 -https://github.com/chaifeng/ufw-docker

修改UFW配置文件/etc/ufw/after.rules，在文件末尾添加以下规则：

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

唯一的区别是，我修改了所有对 192.168.0.0/24 的引用以匹配我的 LAN。我做了一些小测试，到目前为止，它没有破坏 Docker 内部网络，它保护容器免受公众攻击，并且允许我使用 ufw 创建规则。

限制对 Docker 容器的访问以仅允许 LAN 上的源的正确方法是什么

答案1

笔记

答案2

相关内容