Zugriff auf Docker Container Port auf bestimmte IP-Adresse beschränken
Hallo Zusammen,
Ich habe den Container xy, welcher den Port 1234 (3398 auf dem Host) bereitstellt. Dieser stellt eine VPN-Verbindung bereit und ich verbinde mich über diese via RDP auf ein System in meinem Heimnetz. Ohne jegliche Regeln auf dem Host, klappt dies auch wunderbar. Nun möchte ich den Zugriff auf diesen Port jedoch auf meine IP-Adresse beschränken. Ich habe versucht auf dem Host via IP-Tables die INPUT und FORWARD Policies zu droppen und entsprechende Richtlinien zum Erlauben meiner IP-Adresse als Source und 1234 als Zielport hinzuzufügen. Nun ist es aber so, egal in welcher Konstellation ich die IP-Tables regeln anlege, kann sich entweder jeder oder niemand auf den Port verbinden oder der Container kann eine VPN-Verbindung establishen aber das Remotesystem nicht mehr erreichen.
Was ich unter anderem Versucht habe
Hat jemand eine Idee wie ich die Verbindung auf den Port, auf meine IP beschränken kann, ohne den Container einzuschränken?
Gruß OpSec
Ich habe den Container xy, welcher den Port 1234 (3398 auf dem Host) bereitstellt. Dieser stellt eine VPN-Verbindung bereit und ich verbinde mich über diese via RDP auf ein System in meinem Heimnetz. Ohne jegliche Regeln auf dem Host, klappt dies auch wunderbar. Nun möchte ich den Zugriff auf diesen Port jedoch auf meine IP-Adresse beschränken. Ich habe versucht auf dem Host via IP-Tables die INPUT und FORWARD Policies zu droppen und entsprechende Richtlinien zum Erlauben meiner IP-Adresse als Source und 1234 als Zielport hinzuzufügen. Nun ist es aber so, egal in welcher Konstellation ich die IP-Tables regeln anlege, kann sich entweder jeder oder niemand auf den Port verbinden oder der Container kann eine VPN-Verbindung establishen aber das Remotesystem nicht mehr erreichen.
Was ich unter anderem Versucht habe
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s 192.168.0.10 --dport 1234 -j ACCEPT
iptables -A FORWARD -s 192.168.0.10 --dport 1234 -j ACCEPT
Hat jemand eine Idee wie ich die Verbindung auf den Port, auf meine IP beschränken kann, ohne den Container einzuschränken?
Gruß OpSec
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 14074216788
Url: https://administrator.de/contentid/14074216788
Ausgedruckt am: 08.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Moin.
Schließe mich @DarkZoneSD an - Firewall-Regeln werde afaik überall hierarchisch von oben nach unten abgearbeitet. Erste Regel, die greift, wird angewendet und das Regelwerk nicht weiter verarbeitet.
Alternativ könntest du die Port-Zuordnung deines Containers anpassen.
Statt
könntest du mal
ausprobieren, wobei a.b.c.d die gewünschte IP-Adresse ist, die zugreifen können soll.
Cheers,
jsysde
Schließe mich @DarkZoneSD an - Firewall-Regeln werde afaik überall hierarchisch von oben nach unten abgearbeitet. Erste Regel, die greift, wird angewendet und das Regelwerk nicht weiter verarbeitet.
Alternativ könntest du die Port-Zuordnung deines Containers anpassen.
Statt
ports:
- 1234:3000
könntest du mal
ports:
- a.b.c.d:1234:3000
ausprobieren, wobei a.b.c.d die gewünschte IP-Adresse ist, die zugreifen können soll.
Cheers,
jsysde