VPS 上的 Docker 如何用 iptables 保护网络安全呢?

2023-03-19 02:03:20 +08:00
 MrLonely

看到过一些朋友的私人服务,比如 nextcloud ,bitwarden 这种放在 VPS 上。 但是 Docker 开多了以后各个端口很难管理,有些 service 本身并不自带 user/password 认证。 有些 container 还会影射 host 的 volume 进去。如果被他人访问了很麻烦。 想要实现一个像家里局域网一样,先用代理服务回家,然后再访问各个服务的设定。

就是先用 wiregurad 连上 VPS , 然后再把访问各个端口的流量转发到本机端口。 而从网络上直接来的流量全部 drop 掉,只允许通过 wireguard 的流量访问。 不太清楚这个要怎么样通过 iptables 实现。

1439 次点击
所在节点    VPS
9 条回复
oovveeaarr
2023-03-19 02:47:44 +08:00
Jakarta
2023-03-19 03:56:52 +08:00
alexwu
2023-03-19 05:31:01 +08:00
我的做法是所有服务监听 tailscale 的 IP ,然后
alexwu
2023-03-19 05:31:48 +08:00
@alexwu 然后在 tailscale 上还能设置不同的权限
MrLonely
2023-03-19 07:23:24 +08:00
@oovveeaarr 看描述我觉得应该是这个。我的需求主要就是 Restrict connections to the Docker host 这一条。
the following rule restricts external access from all IP addresses except 192.168.1.1:
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP

但是我把它改成
iptables -I DOCKER-USER -i 1.2.3.4 ! -s 127.0.0.1 -j DROP
之后,所有 docker 的网页依然可以继续访问。不需要挂代理。


@Jakarta 我也跟着这个操作了一遍,也重启了。似乎没有达到效果。
MrLonely
2023-03-19 07:31:43 +08:00
@Jakarta 然后又突然成功了。多谢了。
leaflxh
2023-03-19 12:04:08 +08:00
启动的时候指定 -p 127.0.0.1:本机端口:容器内服务端口
kiritoyui
2023-03-19 23:17:33 +08:00
禁止所有端口,开启 80.443.22 ,需要 web 访问的容器全部用 caddy 反代,没有认证的就用 caddy 的 basic auth
kiritoyui
2023-03-19 23:18:17 +08:00
@kiritoyui 还忘了说容器只暴露到 127.0.0.1

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/925203

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX