说说这段时间干的事儿
收获
1、只能 host 网络才可以直接使用 iptables INPUT 规则限制访问端口。
2、限制通过端口直接访问 Docker 容器服务,需要定义 iptables DOCKER-USER 规则,而且开机自启动需要晚于系统创建 DOCKER-USER 规则链的时间,否则不生效。
3、对于 SSH 、 X-UI 、 Docker 都需要定义 IPv6 规则。
4、对于 Nginx 反向代理需要加入 upstream 块,用于同时代理 IPv4 和 IPv6 地址。
5、直接使用 Docker 默认网络,外界也可以直接通过 IPv6 访问容器服务,但不利于安全管理,需要借助 robbertkl/ipv6nat 这个容器,实现 IPv6 的 NAT 转发功能,分配内部 IPv6 地址。有些服务未知原因无法使用此方法,比如 searxng 搜索引擎,反而只能通过默认 bridge 网络才可以。
6、同样是不定义本地 IP 地址,但是,通过 iptables INPUT 规则限制的端口,就算是本地节点,亦不能访问,而,通过 iptables DOCKER-USER 规则限制的端口,外界无法访问,本地节点可以访问,这类似于 linode 商家的外置防火墙给我的感觉。
7、所有 Servers 都需要设置中文显示。
记录
需要重点把防火墙规则写写,反代也需要写写,中文显示写写。
THE END