CentOS7のfirewalldで設定しても、dockerで開いた無許可のポートに外部からアクセスできてしまう。

CentOSサーバ上でnginxを80と443ポートで受け付けています。
それとは別に同サーバ上でdockerコンテナを1234ポート(仮)で建てたのですが、このポートはホストOS→コンテナアクセス専用なため、外部に公開したくありません。
ところが、特に許可していないはずの1234ポートに外部回線のブラウザから普通にアクセスできてしまいました・・。

・nginx 80ポート → 許可
・nginx 443ポート → 許可
・docker 1234ポート → 拒否（したいができない・・）

firewalldの設定は以下の様になっており、 services: dhcpv6-client http https sshとなっているため1234ポートなんて適当なポートにアクセスできるワケないのですが、ブラウザからアクセスすると、レスポンスが帰ってきてしまいます。。
firewalld再起動、OS再起動も行いましたが、変わらずです。

[root@server]# firewall-cmd --reload
success

[root@server]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

[root@server]# docker run -d -p 1234:80 nginx
de61adf27ac5d918277543874c3928345f17a23078e7d85eb658e3fe24d1575a

dockerで開いたポートは、firewalldの設定は反映されないということなのでしょうか？？

動作確認しているOSは、さくらのクラウドの CentOS Linux release 7.3.1611 (Core)です。
よろしくお願いいたします。

一応、firewall-cmd --list-all-zone の結果を以下に記載します。

[root@server]# firewall-cmd --list-all-zone
work
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


drop
  target: DROP
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


internal
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client http https mdns samba-client ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


external
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh
  ports:
  protocols:
  masquerade: yes
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


trusted
  target: ACCEPT
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


home
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client mdns samba-client ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


dmz
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:


block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

行動規範の内容に同意します

回答1件

ベストアンサー

docker が firewalld を介さずに、直接 iptables で 1234 番ポートを開けているのだと思います。
iptables -nvL -t nat の PREROUTING チェインをたどっていくと、1234 番ポートを DNAT しているルールがあると思います。
また、iptables -nvL の FORWARD チェインをたどっていくと、で外部→dockerコンテナへの接続が許可されていると思います。

投稿2017/01/04 06:34

編集2017/01/04 06:36

TaichiYanagiya

総合スコア12173

kotatsu_hal

2017/01/05 04:32

ありがとうございました！ `-p 1234` でポートを完全公開するのではなく、`--expose 1234` で内側に開けておいて、外からはnginxで受けてプロクシするようにしました。これ知らないままだったら、危ないところでした。助かりました！

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.37%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

CentOS7のfirewalldで設定しても、dockerで開いた無許可のポートに外部からアクセスできてしまう。

関連した質問