Debian

UFW 不阻止傳入流量

  • April 8, 2019

我有一個執行 UFW 的 Debian 9 伺服器,我想阻止除埠 2122 (SSH) 和 80/443 (對於 HTTP(s)) 之外的所有傳入請求。

我執行了以下命令:

ufw reset
ufw default deny incoming
ufw default allow outgoing
ufw allow incoming 2122/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

編譯為:

ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
2122/tcp                   ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
2122/tcp (v6)              ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)

似乎一切都很好,至少對我來說。但是,當我在埠 2424(或者,實際上,任何其他埠)上執行docker 容器時,儘管有防火牆,我仍然可以訪問http://domain.tld:2424 。

我嘗試重新啟動,重新啟動 iptables,……沒有骰子。有什麼建議嗎?非常感謝 !

Docker 在防火牆本身中打開埠,用於正在執行的容器公開的任何埠。這些不會顯示在ufw輸出中,但可以在 中查看iptables

你應該:

  • 確保僅公開需要訪問 Internet 的埠。
  • 使用 docker-compose 來編排多個相關容器的創建和執行。他們可以相互交談而不必暴露埠。

引用自:https://serverfault.com/questions/962012