Debian
UFW 不阻止傳入流量
我有一個執行 UFW 的 Debian 9 伺服器,我想阻止除埠 2122 (SSH) 和 80/443 (對於 HTTP(s)) 之外的所有傳入請求。
我執行了以下命令:
ufw reset ufw default deny incoming ufw default allow outgoing ufw allow incoming 2122/tcp ufw allow 80/tcp ufw allow 443/tcp ufw enable
編譯為:
ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), deny (routed) New profiles: skip To Action From -- ------ ---- 2122/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 443/tcp ALLOW IN Anywhere 2122/tcp (v6) ALLOW IN Anywhere (v6) 80/tcp (v6) ALLOW IN Anywhere (v6) 443/tcp (v6) ALLOW IN Anywhere (v6)
似乎一切都很好,至少對我來說。但是,當我在埠 2424(或者,實際上,任何其他埠)上執行docker 容器時,儘管有防火牆,我仍然可以訪問http://domain.tld:2424 。
我嘗試重新啟動,重新啟動 iptables,……沒有骰子。有什麼建議嗎?非常感謝 !
Docker 在防火牆本身中打開埠,用於正在執行的容器公開的任何埠。這些不會顯示在
ufw
輸出中,但可以在 中查看iptables
。你應該:
- 確保僅公開需要訪問 Internet 的埠。
- 使用 docker-compose 來編排多個相關容器的創建和執行。他們可以相互交談而不必暴露埠。