На серваке был сервис на порту 33080, и он был доступен наружу даже с учётом того, что я настроил файрвол, чтоб пропускать только подключения к портам 22, 80, 443.
Как оказалось это из-за того что сервис запущен в docker и он сам отрывает порт 33080 в iptables, чтоб это пофиксить надо порты открывать так 127.0.0.1:33080:8080 вместо 33080:8080 (например в docker-compose.yaml)
тогда сервис будет доступен только с локалхоста например для caddy или nginx.
[#]til #linux #docker #security
=> More informations about this toot | More toots from mapcuk@lor.sh
@mapcuk ещё можно параметр iptables=False у docker демона при запуске прикрутить для верности, тогда он не будет трогать iptables
=> More informations about this toot | More toots from keyd@mast.keyd.ru
@keyd а как он тогда будет роутинг настраивать для своих локальных докер сетей?
=> More informations about this toot | More toots from mapcuk@lor.sh This content has been proxied by September (3851b).Proxy Information
text/gemini