docker喵喵
以前一直是内网访问, 很少考虑外网访问的安全性问题, 最近开始弄服务器之后才发现这么多问题, iptables 是一个很好的工具, 可以阻止很多奇怪的访问, 但是也被docker透烂了, 会加一些奇怪的规则, 导致可以直接ip:端口号访问, 让我措手不及. 现在弄到了两种解决的办法
# 屏蔽端口访问
虽然docker插入了奇怪的iptables, 不过我们也可以加, 屏蔽相应的 docker 端口实现屏蔽ip访问的效果.
iptables -I DOCKER-USER -p tcp --dport 5244 -j DROP
Note
这个端口是容器的端口, 不是你映射出来的端口
# 只允许本地访问
本来这些服务我就是要通过 nginx 映射出去使用的, 我只是不希望ip:端口的访问, 于是我发现这种我更加喜欢的写法
memos:
image: neosmemo/memos:stable
container_name: memos
restart: always
network_mode: bridge
ports:
- 127.0.0.1:5230:5230
1
2
3
4
5
6
7
2
3
4
5
6
7
通过 127.0.0.1:5230 这种写法, 就可以避免这些问题了.
# docker network
今天发现如果是一个 network 里面的容器, 可以通过容器名实现直接访问.
这解决了我不想把 rsshub 开放到公网又不知道怎么让阅读器使用的问题.
更新时间: 8/5/2024, 8:30:17 PM
