Điểm:2

Centos Docker iptables chặn tất cả các giao dịch ngoại trừ tên miền

lá cờ sg

Tôi đang cố chặn tất cả lưu lượng truy cập đi từ iptables cho giao diện dockerâs docker0. Nhưng tôi muốn mở quyền truy cập cho một vài tên miền:

Làm thế nào tôi có thể làm điều đó?

Tôi đã thử điều đó:

iptables -I OUTPUT -o docker0 -j DROP 
iptables -I DOCKER -i docker0 -p udp --dport 53 -j CHẤP NHẬN 
iptables -I DOCKER -i docker0 -p tcp -d mydomain.com --dport 80 -j CHẤP NHẬN 
iptables -I DOCKER -i docker0 -m conntrack --ctstate ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
Điểm:0
lá cờ za

Điều này là không thể. iptables kiểm soát Netfilter, đây là bộ lọc gói IP (tường lửa) hoạt động trên OSI cấp 3 và 4. Tên miền DNS là thứ cấp cao hơn (và hơi trực giao) hơn thế.

Bạn có thể kiểm soát quyền truy cập vào một số Các địa chỉ IP (L3) và Cổng TCP/UDP (L4) với Netfilter.

Nếu bạn muốn kiểm soát quyền truy cập vào các trang web, bạn có các tùy chọn sau:

  • giải quyết trước tên DNS, lấy địa chỉ IP và đưa địa chỉ đó vào tường lửa. AFAIK iptables đang tự làm điều đó khi bạn đặt cho nó một tên miền; thứ mà nó cấu hình bên trong Netfilter là địa chỉ IP được phân giải cho tên đó. Khi chủ sở hữu của miền đó quyết định thay đổi địa chỉ IP, quy tắc của bạn sẽ không còn áp dụng nữa. Nếu có nhiều hơn một trang web được lưu trữ trên máy chủ có địa chỉ IP này (tức là có một máy chủ lưu trữ ảo lưu trữ một số tên), bạn sẽ cho phép chúng hoàn toàn hoặc vô hiệu hóa chúng hoàn toàn. Đây là những gì bạn dường như đang làm ngay bây giờ;
  • một proxy HTTP(s) kiểm tra các tên miền được yêu cầu và cấm truy cập vào một số tên miền. Các phát minh hiện đại như ECH (eSNI) sẽ giảm sức mạnh của bạn xuống để chỉ kiểm soát quyền truy cập vào các dải IP, như với tường lửa đơn giản, vì nó khiến bạn không thể thoát ra tên máy chủ nào được yêu cầu;
  • bộ lọc DNS, cấu hình miền nào mà trình phân giải đệ quy của bạn sẽ phân giải cho máy khách và miền nào sẽ không.Một lần nữa, các phát minh hiện đại như DNS-over-HTTP (của Cloudflare), sẽ suy ra khả năng của bạn để làm điều đó, bởi vì máy chủ DNS của bạn sẽ không còn chịu trách nhiệm phân giải tên và bạn không thể biết tên máy chủ nào đã được yêu cầu;
  • Kiểm tra gói sâu (DPI). Và một lần nữa, Internet hiện đại rõ ràng đang hướng tới việc vô hiệu hóa khả năng kiểm tra lưu lượng của bên thứ ba.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.