मेरे पास एक डॉकटर कंटेनर है जो होस्ट पर चल रहे कुछ पोर्ट से होस्ट के पोर्ट पर मैप करता है।
docker run -d -p 9009:9009 someserver
मैं चाहता हूं कि यह मशीन 80, 443 और 22 को छोड़कर इंटरनेट से फायरवॉल हो जाए।
लेकिन मैं अभी भी होस्ट के अंदर की प्रक्रियाएं 9009 से कनेक्ट करने में सक्षम होना चाहता हूं।
मुझे यह जानकर थोड़ा धक्का लगा कि डॉकटर पैकेट छोड़ने के किसी भी फ़ायरवॉल नियमों को पूरी तरह से दरकिनार कर रहे हैं।
मैंने दोनों के साथ सेंटो 7 पर कोशिश की firewalld तथा iptables 80, 443, और 22 को छोड़कर सब कुछ को ब्लॉक करने के लिए। किसी तरह मैं अभी भी मेजबान के बाहर से पोर्ट-मैप्ड कंटेनर (पोर्ट 9009) को प्राप्त करने में सक्षम था! मैंने पाया कि कुछ समाधान डॉकटर के लिए पूरी तरह से रूटिंग में गड़बड़ी करते हैं - या तो डॉकटर कंटेनर को इंटरनेट पर या जो कुछ भी करने में सक्षम नहीं है, बनाते हैं।
क्या मेरा परिदृश्य संभव है?
यह एक ही सवाल पूछ रहा है: https://security.stackexchange.com/questions/66136/docker-port-forwarding-exposure
netstat -anतथाiptables -Lहोस्ट से, जबकि docker चल रहा है?