iptablesでdockerコンテナーへの外部接続を制限する手順は？

私の目標は、Dockerコンテナへのアクセスを少数のパブリックIPアドレスに制限することです。目標を達成するためのシンプルで繰り返し可能なプロセスはありますか？Dockerのデフォルトオプションを使用しながら、iptablesの基本のみを理解すると、非常に難しいことがわかります。

コンテナを実行し、パブリックインターネットから見えるようにしますが、選択したホストからの接続のみを許可します。REJECTのデフォルトのINPUTポリシーを設定し、ホストからの接続のみを許可する予定です。しかし、DockerのNATルールとチェーンは邪魔になり、私のINPUTルールは無視されます。

以下の仮定を前提として、誰かが私の目標を達成する方法の例を提供できますか？

• eth0でホストパブリックIP 80.80.80.80
• eth1でホストプライベートIP 192.168.1.10
• docker run -d -p 3306:3306 mysql
• ホスト4.4.4.4および8.8.8.8を除く、ホスト/コンテナ3306へのすべての接続をブロックする

コンテナをローカルIPアドレスのみにバインドできてうれしいですが、ドッカープロセスとホストの再起動に耐えるiptables転送ルールを適切に設定する方法についての指示が必要です。

ありがとう！

Dockerのファイアウォールルールを使用する場合、次の2つの点に注意してください。

1. ルールがdockerによって上書きされないようにするには、DOCKER-USERチェーンを使用します
2. Dockerは、テーブルのPREROUTINGチェーンでポートマッピングを行いnatます。これは、前に発生filterルール、そう--destと--dportコンテナの内部IPとポートが表示されます。元の宛先にアクセスするには、を使用できます-m conntrack --ctorigdstport。

例えば：

iptables -A DOCKER-USER -i eth0 -s 8.8.8.8 -p tcp -m conntrack --ctorigdstport 3306 --ctdir ORIGINAL -j ACCEPT
iptables -A DOCKER-USER -i eth0 -s 4.4.4.4 -p tcp -m conntrack --ctorigdstport 3306 --ctdir ORIGINAL -j ACCEPT
iptables -A DOCKER-USER -i eth0 -p tcp -m conntrack --ctorigdstport 3306 --ctdir ORIGINAL -j DROP

注：を使用しない--ctdir ORIGINAL場合、これはコンテナから他のサーバーのポート3306への接続に対して返される応答パケットにも一致しますが、これはほぼ間違いなく必要なものではありません！私のように最初のルールがの-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT場合、すべての応答パケットを処理するため、これは厳密には必要ありませんが、--ctdir ORIGINALとにかく使用する方が安全です。

Docker v.17.06には、DOCKER-USERと呼ばれる新しいiptablesチェーンがあります。これは、カスタムルール用です：https : //docs.docker.com/network/iptables/

チェーンDOCKERとは異なり、コンテナーの作成/開始時にリセットされません。したがって、dockerをインストールしてコンテナを起動する前でも、サーバーをプロビジョニングするためにiptables config / scriptに次の行を追加できます。

-N DOCKER
-N DOCKER-ISOLATION
-N DOCKER-USER
-A DOCKER-ISOLATION -j RETURN
-A DOCKER-USER -i eth0 -p tcp -m tcp --dport 3306 -j DROP
-A DOCKER-USER -j RETURN

現在、MySQLのポートは外部アクセス（eth0）からブロックされています。これは、Dockerが世界のポートを開くと考えられている場合でも同様です。（これらのルールは、外部インターフェースがeth0であると仮定しています。）

最終的には、ポートをロックダウンしようとしてあまりにもめちゃくちゃになった場合、最初にiptablesをクリーンアップしてからdockerサービスを再起動する必要があります。

更新：2015年に有効ですが、このソリューションはそれを行う正しい方法ではなくなりました。

答えはhttps://docs.docker.com/articles/networking/#the-worldの Dockerのドキュメントにあるようです。

Dockerの転送ルールは、デフォルトですべての外部ソースIPを許可します。特定のIPまたはネットワークのみがコンテナーにアクセスできるようにするには、DOCKERフィルターチェーンの上部に否定ルールを挿入します。たとえば、ソースIP 8.8.8.8のみがコンテナにアクセスできるように外部アクセスを制限するには、次のルールを追加できます。iptables -I DOCKER -i ext_if ! -s 8.8.8.8 -j DROP

私がやったことは：

iptables -I DOCKER -i eth0 -s 8.8.8.8 -p tcp --dport 3306 -j ACCEPT
iptables -I DOCKER -i eth0 -s 4.4.4.4 -p tcp --dport 3306 -j ACCEPT
iptables -I DOCKER 3 -i eth0 -p tcp --dport 3306 -j DROP

--iptablesまたは--iccオプションに触れませんでした。

更新：この回答はまだ有効ですが、@ SystemParadox DOCKER-USERと組み合わせて使用した回答の--ctorigdstport方が優れています。

再起動後も持続し、内部ポートではなく公開ポートに影響を与えることができるソリューションを次に示します。

iptables -t mangle -N DOCKER-mysql iptables -t mangle -A DOCKER-mysql -s 22.33.44.144/32 -j RETURN iptables -t mangle -A DOCKER-mysql -s 22.33.44.233/32 -j RETURN iptables -t mangle -A DOCKER-mysql -j DROP iptables -t mangle -A PREROUTING -i eth0 -p tcp -m tcp --dport 3306 -j DOCKER-mysql

環境変数または動的にetcd（またはその両方）を使用して、この方法を使用してiptablesを自動的に管理するDockerイメージを作成しました。

https://hub.docker.com/r/colinmollenhour/confd-firewall/