Я размещаю веб-приложение на своем сервере и хочу, чтобы оно было доступно только с нескольких определенных IP-адресов. UFW / iptables звучит здесь как хороший выбор.
После прочтения Опасности UFW + Docker Я решил добавить --iptables=false в моем DOCKER_OPTS. У меня есть политика запрета входящего трафика по умолчанию, поэтому мне пришлось добавить несколько правил ufw.
Сначала эти два:
172.17.0.0/16 on docker0 ALLOW IN 172.17.0.0/16
172.18.0.0/16 on docker0 ALLOW IN 172.18.0.0/16
Но также в интерфейсе, который выглядит так br-*******. Дело в том, что этот интерфейс меняется каждый раз, когда я перезапускаю свои контейнеры, заставляя меня добавлять новое правило ufw. Пока это выглядит так.
PUBLIC_IP on br-e16af56aa604 ALLOW IN 172.19.0.0/16
PUBLIC_IP on br-f0b860d26add ALLOW IN 172.20.0.0/16
PUBLIC_IP on br-c0cdd3a4d7a6 ALLOW IN 172.20.0.0/16
PUBLIC_IP on br-c0cdd3a4d7a6 ALLOW IN 172.21.0.0/16
При каждом перезапуске я должен смотреть на свои ifconfig и сделать sudo ufw allow in on br-*** from br-***-INTERFACE-IP to PUBLIC_IP.
Можно ли добавить постоянное правило для решения моей проблемы? Спасибо