docker-compose で起動したコンテナのportをfirewallで制御したい。

外部からアクセスさせたいのでportフォワーディングして外部に公開しています。

centos8のfirewallで指定したportにip制限をかけたいのですが、
portフォワーディングしているためdocke側がportをあけて、firewall側の制御がきかない状態です。

docker-composeもdocker run のiptables=falseのようなオプションがあるのでしょうか？
それともdokcerの設定ファイルなどを変更する必要があるのでしょうか？

ご教授をよろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

iptables(netfilter)側については設定によりますが、Docker Compose 単体としては公式ドキュメントにあるような、ポートの公開範囲を指定する方法はいかがでしょうか。

ports:
  - "127.0.0.1:443:443"

利用形態にもよりますが、もしかすると、ファイアウォールにこだわらず、何らかのリバースプロキシを設置する方法も有効かもしれません。

投稿2020/06/03 19:41

zembutsu

総合スコア1584

node_chan

2020/06/04 08:12

ご回答ありがとうございます。 127.0.0.1ってことは、外部でなくDockerを実行しているホスト内のIPですよね？ portsはhostとコンテナのポート or ipを記載する箇所という認識です。ちなみに、127.0.0.1の箇所に許可したい外部のIPを記載すると起動時にbind: cannot assign requested addressで怒られます。

zembutsu

2020/06/04 23:28

> ちなみに、127.0.0.1の箇所に許可したい外部のIPを記載すると起動時にbind: cannot assign requested addressで怒られます。ここには 127.0.0.1 または、そのサーバが持っているネットワーク・インターフェースの IP アドレスしか記述できません。以下、先日の追記の捕捉です。仮に 127.0.0.1 としますと、そのサーバ内のローカル環境以外からは Docker コンテナに接続できなくなります。つまり、同じサーバ上にリバースプロキシをセットアップし、そのリバースプロキシ上でアクセス制限を行えば、ファイアウォール的なアクセス制御ができるようになります。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

docker-compose で起動したコンテナのportをfirewallで制御したい。

関連した質問