Добрый день.
Не понимаю, что нужно блокировать в iptables, для того, что бы из вне, через интерфейс с белым IP не было доступа к docker.
И так имеется:
enp5s0 интерфейс внутренней сети за NAT
enp6s0 интерфейс со статическим внешним IP для nginx сервиса.
Nginx поднимаю внутри контейнера docker, с пробросом портов 80,443.
Работает служба iptables:
Очищаю все цепочки iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle
Устанавливаю политики по умолчанию для трафика
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
Далее открываю порты
$IPT -A INPUT -i enp6s0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i enp6s0 -p tcp --dport 443 -j ACCEPT
При запуске докера, докер прописывает свои правила в forvard
Вопрос: будет ли доступен докер и его контейнеры из вне через enp6s0? Или все таки нужно еще добавлять правило:
iptables -I DOCKER-USER -i ext_if ! -s 192.168.1.1 -j DROP
согласно https://docs.docker.com/network/iptables/
??
Мне нужно что бы из вне, доступа к самой службе докера не было, и только был доступен контейнер с nginx с портами 80,443.
Заранее премного благодарен