Словил сейчас жесткую подставу от docker + ufw. В ufw...

Словил сейчас жесткую подставу от docker + ufw.

В ufw было забито `ufw default deny incoming`, а в компоуз файле бинд портов настроен как 8080:8080.
В итоге контейнер забиндился на 0.0.0.0:8080 и был доступен снаружи, не смотря на то, что дефолтное правило в фв было deny и порт явно не был открыт.
Непонятно как так вышло, раньше такого поведения не замечал. Пойду сервера проверять все -_-

Like 17 March at 21:17 | Open on neverwhe.re

5 comments

medvedych

Интересно, что на серверах с Debian 11 на той же конфигурации проблемы нет. Надо будет завтра задеплоить пару чистых серверов и проверить это проблема конкретного сервера или в Debian 12 что-то сломали

17 March at 22:08 | Open on neverwhe.re

Roman

@medvedych @rur у докера есть блок правил "от юзера" в iptables. Надо туды пхать всякое. Насколько я помню.

18 March at 17:11 | Open on mtdn.anyqn.com

Rubikoid

@medvedych безопасней, если «публикация» порта сервиса не планируется, в самом докере его вешать на «127.0.0.1:8080:8080»

Тогда докер просто не будет слушать этот порт на интерфейсах, отличных от loopback’а

18 March at 17:47 | Open on social.rubikoid.ru

medvedych

@rubikoid Да я как-то привык что файрвол всё рубит и расслабился :(

18 March at 20:22 | Open on neverwhe.re

sss

@medvedych понапридумывали всякой хрени для мышкопрограмистов, есть же iptable +/ nftables, зачем еще всякой блоатварью обмазываться ?

19 March at 6:11 | Open on pleroma.dark-alexandr.net