АН
не умеет человек маны читать, хочет сразу готовые решения ))
Я умею маны читать. Первый раз с нетворком в докере сталкиваюсь, да и вообще с докером, и тут прикурил )
Size: a a a
2020 March 31
АР
А этот конфиг с машины или контейнера?
DN
Ограничивается доступ чтобы что?
АН
А этот конфиг с машины или контейнера?
С машины. Контейнер чистится каждый раз при новом запуске
D
Я умею маны читать. Первый раз с нетворком в докере сталкиваюсь, да и вообще с докером, и тут прикурил )
это не тебе.. там другой чел бомбит от чтения манов
DN
Есть масса вариантов ограничивать доступ к ендпоинтам и iptables лишь один из них
АН
Ограничивается доступ чтобы что?
Ну есть 3 контейнера на 8090\8091\8092 портах, надо что бы средствами iptables доступ к этим портам разграничивался 1 IP - 8090 \ 2 IP - 8091 \ 3 IP - 8092
N
Есть масса вариантов ограничивать доступ к ендпоинтам и iptables лишь один из них
Задача для собеса)
D
Задача для собеса)
на уровне начальника отдела? Слишком мудрёно даже даже для сеньора
АР
С машины. Контейнер чистится каждый раз при новом запуске
А где смотришь трафик? На машине или контейнере?
АН
А где смотришь трафик? На машине или контейнере?
Я чекаю доступ к этому порту с левого IP
DN
Ну есть 3 контейнера на 8090\8091\8092 портах, надо что бы средствами iptables доступ к этим портам разграничивался 1 IP - 8090 \ 2 IP - 8091 \ 3 IP - 8092
Я бы спросил ради чего ограничивать доступ на транспортном уровне, но не буду
АР
Я не понял почему трафик бллкируют в форварде, а не в инпуте
инпут на саму машину, а форвард на транзит через машину
АН
Я не понял почему трафик бллкируют в форварде, а не в инпуте
Потому что докер своими правилами форвардит, а цепочка форварда выше INPUT открывает доступ
D
Ну есть 3 контейнера на 8090\8091\8092 портах, надо что бы средствами iptables доступ к этим портам разграничивался 1 IP - 8090 \ 2 IP - 8091 \ 3 IP - 8092
внутри контейнеров легко может быть один и тот же порт, а рулит там айпи:порт
АН
Я про внешние порты
DN
Потому что докер своими правилами форвардит, а цепочка форварда выше INPUT открывает доступ
Юзай хостовую сеть и не парься
N
инпут на саму машину, а форвард на транзит через машину
Форвард будет работать если тв с одного контейнера в другой стучишься