为什么我能够公开访问我的when应用程序，即使在我的Linode中阻塞端口时也是如此？

Question

我有一个Linode设置，我已经设置UFW来阻塞端口，特别是8080。我已经重新加载了防火墙，我仍然能够通过网络访问web应用程序。

UFW：

Status: active

To                         Action      From
--                         ------      ----
787/tcp                    ALLOW       Anywhere
8080                       DENY        Anywhere
787/tcp (v6)               ALLOW       Anywhere (v6)
8080 (v6)                  DENY        Anywhere (v6)

我正在码头上运行traefik，并将端口上的仪表板映射到8080，并且能够通过web访问应用程序。这里发生了什么事？8080的规则不是应该阻止连接吗？

解决方案：

编辑在/etc/docker/daemon.json中找到的daemon.json，并添加以下内容：

{ "iptables": false }

保存，并重新装载码头。这现在可以防止停靠者修改iptable和“规避”ufw规则。

Answer 1

对通过Docker端口发布打开的端口的访问控制在nat PREROUTING链或filter FORWARD表中。您现有的防火墙规则很可能只会影响filter INPUT表。

添加用于中介对Docker容器的访问的规则的规范位置是filter表中的filter链，这是从FORWARD链调用的。

对于DOCKER_USER链中的规则，您需要使用容器侦听的端口，而不是发布服务的主机端口。