Назад | Перейти на главную страницу

UFW не блокирует входящий трафик

У меня есть сервер Debian 9, на котором работает UFW, и я хотел бы заблокировать все входящие запросы, кроме порта 2122 (SSH) и 80/443 (для HTTP (s)).

Я выполнил следующие команды:

ufw reset
ufw default deny incoming
ufw default allow outgoing
ufw allow incoming 2122/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

Что компилируется в:

ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
2122/tcp                   ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
2122/tcp (v6)              ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)

Вроде все хорошо, по крайней мере, у меня. Но когда я запускаю контейнер докеров на порту 2424 (или, действительно, на любом другом порту), я все еще могу получить доступ http: //domain.tld: 2424, несмотря на брандмауэр.

Пытался перезагрузить, перезапустить iptables, ... Кости нет. Любое предложение ? Большое спасибо !

Docker открывает порты в самом брандмауэре для любых портов, которые открываются работающими контейнерами. Они не отображаются в ufw вывод, но его можно просмотреть в iptables.

Вам следует:

  • Убедитесь, что открыты только порты, которые должны быть доступны для Интернета.
  • Используйте docker-compose, чтобы организовать создание и запуск нескольких связанных контейнеров. Они могут разговаривать друг с другом, не открывая порты.