LINUX.ORG.RU
ФорумAdmin

docker iptables

 ,


0

4

Приветствую. Docker изменяет правила iptables на:

Chain INPUT (policy ACCEPT 190 packets, 16644 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-USER  all  --  any    any     anywhere             anywhere            
    0     0 DOCKER-ISOLATION-STAGE-1  all  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    docker0  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  any    docker0  anywhere             anywhere            
    0     0 ACCEPT     all  --  docker0 !docker0  anywhere             anywhere            
    0     0 ACCEPT     all  --  docker0 docker0  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 188 packets, 15972 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  !docker0 docker0  anywhere             172.17.0.2           tcp dpt:https
    0     0 ACCEPT     tcp  --  !docker0 docker0  anywhere             172.17.0.2           tcp dpt:http
    0     0 ACCEPT     tcp  --  !docker0 docker0  anywhere             172.17.0.2           tcp dpt:ssh

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  anywhere             anywhere            
    0     0 RETURN     all  --  any    any     anywhere             anywhere            

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    docker0  anywhere             anywhere            
    0     0 RETURN     all  --  any    any     anywhere             anywhere            

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  any    any     anywhere             anywhere       

По документации к docker создал /etc/docker/daemon.json с содержимым: { «iptables»: false } Теперь docker меняет iptables так:

Chain INPUT (policy ACCEPT 6411 packets, 3575K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-USER  all  --  any    any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 6877 packets, 1010K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  any    any     anywhere             anywhere       

Как остановить этот беспредел?

Немного не понял. Он сбрасывает все ваши правила и полиси? Или только про цепочку DOCKER-USER которая все равно добавляется?

anc ★★★★★ ()
Ответ на: комментарий от router

Как и с любыми другими контейнерами/виртуалками. Ну не хочу что бы за меня какая-то «кака» вносила изменения в netfilter. Я умею и руками. Так что вопрос ТС вполне обоснован.

anc ★★★★★ ()
Ответ на: комментарий от anc

Сбрасывает все мои правила и добавляет цепочку DOCKER-USER. Выполняю:

sudo iptables -X
sudo iptables -A INPUT -i docker0 -s 172.17.0.1/16 -d 172.17.0.1/16 -j ACCEPT
sudo iptables -A OUTPUT -o docker0 -s 172.17.0.1/16 -d 172.17.0.1/16 -j ACCEPT
sudo iptables -A INPUT -i docker0 -j REJECT
sudo iptables -A OUTPUT -o docker0 -j REJECT
sudo iptables-save
sudo iptables -L -v
Chain INPUT (policy ACCEPT 37 packets, 3935 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  docker0 any     172.17.0.0/16        172.17.0.0/16       
    0     0 REJECT     all  --  docker0 any     anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 42 packets, 4053 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  any    docker0  172.17.0.0/16        172.17.0.0/16       
    0     0 REJECT     all  --  any    docker0  anywhere             anywhere             reject-with icmp-port-unreachable
После перезагрузки всё сбрасывается и добавляется цепочка DOCKER-USER - всё как во втором варианте.

Depher ()
Ответ на: комментарий от Depher

Секундочку. А кто сказал вам что ваши правила должны восстанавливался после перезагрузки? Вы их сохраняли? Вы что-то сделали что бы они восстанавливались на ребуте?

anc ★★★★★ ()
Ответ на: комментарий от anc

Да, спасибо. Выполнил iptables-save >> /etc/iptables/iptables.rules закоментив старое. И systemctl enable iptables.service. Теперь правила сохраняются, но DOCKER-USER всёравно добовляется(

Depher ()
Ответ на: комментарий от Depher

На всякий случай уточню.

но DOCKER-USER всёравно добовляется

Он добавляется при ребуте без старта докера. Или именно старт докера его добавляет?

anc ★★★★★ ()
Ответ на: комментарий от Depher

С одной стороны, то что представлено в топике, не страшно от слова совсем, оно просто само по себе и не имеет отношения к работе, эта цепочка не используется.
Но вот тот факт что «кто-то» все равно добавляет, не очень приятен.
Простите протестить негде. Может кто ещё подкинет идей.

anc ★★★★★ ()
Ответ на: комментарий от Depher

Ещё как вариант, если осилите погрепать по DOCKER-USER, может где-то в скриптах завалялось и этот «кусок» убрать.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.