Docker игнорирует правила iptable при использовании "-p: "

только что понял несколько дней назад, что докер, похоже, обходит мои правила iptable. У меня нет невероятного опыта работы с Docker и iptables. В последние дни я перепробовал много разных вещей. Также увидел, что в последних версиях docker произошли большие изменения со специальной цепочкой докеров, которая должна позволить мне это сделать. Однако не уверен, что я делаю неправильно, но он никогда не делает то, что я ожидаю от него.

Итак, то, что я хочу, довольно просто. Я хочу, чтобы он вел себя так, как ожидалось. Что если у меня правило ACCEPT для прохождения, а если нет, оно блокируется.

мой iptable выглядел первоначально так (так что перед моими многочисленными неудачными попытками):

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 1.2.3.4 -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -j DROP
COMMIT

надеялся, что он делает именно то, что я хочу. Просто разрешите доступ к портам 22 и 80, а также разрешите порт 123 от ip 1.2.3.4. Однако, если я создам контейнер с "- p 123: 123", каждый может получить к нему доступ. Может ли кто-нибудь помочь мне и сказать мне, как я должен изменить вышеизложенное файл?

спасибо!

Docker-Версия: 1.6.2

Edit:

слева изначально мои разные попытки не усложнять вопрос. Однако добавление хотя бы одного из них может быть полезно.

*nat
:PREROUTING ACCEPT [319:17164]
:INPUT ACCEPT [8:436]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [16:960]
:DOCKER - [0:0]
COMMIT


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
:DOCKER - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -s 1.2.3.4 -p tcp -m tcp --dport 123 -j ACCEPT
-A DOCKER -j DROP
-A INPUT -j DROP
COMMIT

вышеуказанный вид работ. Однако получите тогда много других проблем. Например, у меня возникают проблемы с связыванием контейнеров, DNS больше не работает и так далее. Так что в конечном итоге добавьте много дополнительных правил, чтобы исправить это проблемы, но я никогда не добираюсь до состояния, когда он работает должным образом. Так что я думаю, что большинство из них будет лучше и проще.

устранение:

в конечном итоге делает более или менее точно, что сказал larsks. Просто не добавил его в переднюю цепочку, вместо этого я добавил его в цепочку докеров. Проблема с прямой цепью заключается в том, что Docker добавляет туда свои вещи, когда он перезапускается в первой позиции. Что приводит к тому, что мои правила оттесняются и не имеют никакого эффекта. Однако для цепочки докеров кажется, что докер добавляет только дополнительные правила, поэтому мои остаются в силе. Поэтому, когда я сохраняю свои правила, а затем перезапускаю сервер, все по-прежнему работает нормально.

Так что теперь это выглядит более или менее так:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [779:162776]
:DOCKER - [0:0]
# That I can access from IP 1.2.3.4
-A DOCKER -s 1.2.3.4/32 -p tcp -m tcp --dport 123 -j ACCEPT
# That I can access from other Docker containers
-A DOCKER -o docker0 -p tcp -m tcp --dport 123 -j ACCEPT
# Does not allow it for anything else
-A DOCKER -p tcp --dport 123 -j DROP

-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
COMMIT