Abbiamo un server root di Linux che principalmente è solo un server docker. Contenitori di hosting e corridore CI.
Per proteggere questo server l'idea di base per ora è quella di
- bloccare tutto il traffico
- ad eccezione di uno (o più) IP (s) ammessi.
Ieri ho aggiunto una ricca regola con per ip4
- bloccando 0.0.0.0/0
- consentendo esplicitamente il nostro IP statico
Ciò mi ha impedito di accedere. Contenitore Docker dove è ancora accessibile. I contenitori generano una nuova interfaccia, per quanto comprendo queste interfacce dovrebbero essere responsabili solo della comunicazione dall'host al contenitore. Spero almeno che il firewalld filtri il traffico prima che il traffico venga inoltrato, ad es. eth0 su dockerinterface1234.
La mia ricerca finora suggerisce. Lasciando informazioni sull'interfaccia in una zona, la zona è responsabile di tutto il traffico. Tuttavia, il mio test suggerisce che l'ho configurato male o la mia ricerca è sbagliata.