host sistemin linux oldugunu varsayarsak, firewall kurallarini isletebilmek icin kernelden yukari dogru kullanilan araclar; netfilter -> iptables -> herhangi bir iptables frontend misal ufw (bi liste surada var: https://wiki.archlinux.org/index.php/iptables#Front-ends)
herhangi bir docker container'ini --cap-add=NET_ADMIN --net=host parametreleri ile baslatirsan container icinde kullandigin herhangi bir iptables frontend'i host sistemin kurallarini yonetecektir. ister uwf ister console tabanli ister grafik arayuzlu, sizin tercihinize kalmis. On Wed, 17 Feb 2021 at 10:56, Servet Tas <ser...@bilgimedya.com.tr> wrote: > https://github.com/chaifeng/ufw-docker > bu adres üzerinden kullandım ben. örnek kodlar aşağıdadır. Umarım faydası > olur. > Mutlaka reboot edin. > >> >> # Put Docker behind UFW >> *filter >> :DOCKER-USER - [0:0] >> :ufw-user-input - [0:0] >> >> -A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT >> -A DOCKER-USER -m conntrack --ctstate INVALID -j DROP >> -A DOCKER-USER -i eth0 -j ufw-user-input >> -A DOCKER-USER -i eth0 -j DROP >> COMMIT >> And undo any and all of: >> >> Remove "iptables": "false" from /etc/docker/daemon.json >> Revert to DEFAULT_FORWARD_POLICY="DROP" in /etc/default/ufw >> Remove any docker related changes to /etc/ufw/before.rules >> Be sure to test that everything comes up fine after a reboot. >> >> I still believe Docker's out of the box behavior is dangerous and many >> more people will continue to unintentionally expose internal services to >> the outside world due to Docker punching holes in otherwise safe iptables >> configs. >> >> (edit: I didn't see the need to set MANAGE_BUILTINS=no and IPV6=no, or to >> fiddle with /etc/ufw/before.init, not sure why >> > > > ahmet a <system...@outlook.com>, 17 Şub 2021 Çar, 10:29 tarihinde şunu > yazdı: > >> Servet Bey Merhaba, >> >> bunu docker ortamında kullandınız dimi, link vb şeyler paylaşırmısınız >> rica etsem. >> >> >> teşekkürler, >> ------------------------------ >> *Gönderen:* Servet Tas <ser...@bilgimedya.com.tr> adına Linux-sunucu < >> linux-sunucu-boun...@liste.linux.org.tr> >> *Gönderildi:* 17 Şubat 2021 Çarşamba 07:07 >> *Kime:* linux-sunucu@liste.linux.org.tr <linux-sunucu@liste.linux.org.tr> >> *Konu:* [Linux-sunucu] Re: docker 'üzerinde firewall veya proxy türevi >> çalıştırma tavsiyesi >> >> Selamlar, >> >> Ben UFW kullanıyorum tavsiye ederim kullanışlı ve basit. >> >> ahmet a <system...@outlook.com>, 15 Şub 2021 Pzt, 21:25 tarihinde şunu >> yazdı: >> >> merhaba, docker üzerinde firewall kurmak ve üzerinde çalıştırma yapmak >> isityorum varmı bildiğiniz. >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> Linux-sunucu@liste.linux.org.tr >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> >> >> -- >> >> Servet TAŞ >> >> Computer Engineer >> >> Senior System&Devops Administrator >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> Linux-sunucu@liste.linux.org.tr >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> > > > -- > > Servet TAŞ > > Computer Engineer > > Senior System&Devops Administrator > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
