МВ
Это уже дистрозависимое что-то
Size: a a a
2021 March 29
МВ
Я обычно писал обычные systemd-юниты и в них просто команды iptables
МВ
начиная с -F
МВ
Ну а сейчас перехожу на nftables
f
Понял, спасибо большое
SS
Настоящая медная 5е с сечением не ниже 0,51 нормально будет работать
Спасибо большое!
c
User didn't pass the validation and was banned.
v(
А правильно понимаю, чтобы мне нужно ещё указать ! —dport 22 ?)
Контейнеры запускаются c "--network host" ?
Если нет, то вам ничем не помогут правила в INPUT.
Если нет, то вам ничем не помогут правила в INPUT.
f
Контейнеры запускаются c "--network host" ?
Если нет, то вам ничем не помогут правила в INPUT.
Если нет, то вам ничем не помогут правила в INPUT.
Контейнеры запускались с -p port:port, просто expose их во внешний мир, чтобы могли взаимодействовать друг с другом
f
Помогли вот эти
f
Переслано от Максим Вельгач...
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate established,related -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
v(
Контейнеры запускались с -p port:port, просто expose их во внешний мир, чтобы могли взаимодействовать друг с другом
port:port это не экпоуз, это как раз публикация для доступа снуружи
Для того чтобы конетейнеры общались между собой никаких портов публиковать не надо.
А вот советы закрыть INPUT и успокоится в данном случае мимо, потому что для хоста трафик извне на контейнер это FORWARD
Для того чтобы конетейнеры общались между собой никаких портов публиковать не надо.
А вот советы закрыть INPUT и успокоится в данном случае мимо, потому что для хоста трафик извне на контейнер это FORWARD
v(
Переслано от Максим Вельгач
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate established,related -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
ну ну
v(
Вредные советы
f
Ну в любом случае я балуюсь только, я знаю, что контейнеры могут общаться между собой без публикации портов, просто эксперементирую, так как будет сеть из нескольких серверов
v(
Ну в любом случае я балуюсь только, я знаю, что контейнеры могут общаться между собой без публикации портов, просто эксперементирую, так как будет сеть из нескольких серверов
После таких советов "фильтровать INPUT достаточно чтобы закрыть опубликованые порты контейнеров" как раз и появляются потом в инете мемкэши и эластики голой жопой наружу
v(
Ну в любом случае я балуюсь только, я знаю, что контейнеры могут общаться между собой без публикации портов, просто эксперементирую, так как будет сеть из нескольких серверов
все правильно у вас было
закрывать надо в DOCKER-USER
закрывать надо в DOCKER-USER
f
все правильно у вас было
закрывать надо в DOCKER-USER
закрывать надо в DOCKER-USER
Да, наверное я просто не правильно написал опции
f
вместо -s 127.0.0.1/32 нужно было использовать -i lo, верно?
v(
вместо -s 127.0.0.1/32 нужно было использовать -i lo, верно?
это правило вообще не нужно