使用场景
当docker上某些服务需要通过反向代理连接的时候,你会发现无论ufw根本拦不住docker的端口映射...
docker
解决方法
root权限下执行以下命令:
修改 etc/ufw/after.rules 下的ufw配置文件
CodeBlock Loading...
重启ufw以生效
CodeBlock Loading...
砚墨半沉,纸上春生。
docker
当docker上某些服务需要通过反向代理连接的时候,你会发现无论ufw根本拦不住docker的端口映射...
root权限下执行以下命令:
修改 etc/ufw/after.rules 下的ufw配置文件
重启ufw以生效
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward
-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT
-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16
-A DOCKER-USER -j RETURN
-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP
COMMIT
# END UFW AND DOCKER
systemctl restart ufw