• 돌아가기
  • 아래로
  • 위로
  • 목록
  • 댓글
질문

헤놀로지 도커 관련 방화벽 설정 질문드립니다.

배뚱이 220

0

12

안녕하세요.

헤놀로지에 도커를 올려서 공개된 웹페이지를 하나 만들었습니다.

해당 웹페이지는 링크를 넣으면 동영상이나 음악을 다운로드 하는 기능인데

이를 위해서는

도커 -> ANY:ANY 로 열려있어야 원활한 다운로드가 가능합니다.

 

하지만 DSM 방화벽 정책에 해당 정책을 넣게되면

iptables의 INPUT, FORWARD 에 모두 정책이 들어가는 것 같습니다.

 

보안상 이유로

도커 -> 헤놀로지 접근은 막고

도커 -> 외부사이트 는 열고싶습니다.

 

헤놀로지의 iptables 에서 직접 INPUT체인을 건드리면 

가능할 것 같긴한데

해당 정책이 DSM의 방화벽과 연동되어있는 것 같아

괜히 건드리면 어떤 영향이 있을지 모르겠어서

헤놀로지의 iptables 를 직접 건드리는건 다소 조심스럽습니다...

 

좋은 방법이 없을까요?

신고공유스크랩
12
profile image 1등
달소 2023.03.19. 20:47
음,, 헤놀로지 방화벽정책에서 도커 IP를 src로 넣고 내부 ip대역을 dst 차단으로 잡으시는방법도있을것같습니다
배뚱이 글쓴이 2023.03.19. 22:09
달소

오 헤놀로지 방화벽 정책에 dst ip 를 넣는 방법이 있나요!?
넣고싶은 정책이 딱 그거인데
혹시 어떻게 넣나용? 화면에서는 안보여서요ㅠㅠ

캡처.png.jpg

profile image
달소 2023.03.20. 16:29
배뚱이
dst가 없군요...
도커를 브릿지로 잡으면 사설 ip를 할당받을것같은데 그 ip만 src ip로 잡아서 모두 거부하면되징낳을까요?
배뚱이 글쓴이 2023.03.20. 18:35
달소
도커가 외부통신을 해야하는데
도커ip를 소스로 막아버리면 외부통신이 안됩니다ㅠㅠ
profile image
달소 2023.03.20. 20:48
배뚱이
음,, 그럼 공유기/방화벽에서 통제를하거나 docker image 자체에서 막는방법밖에 없을것같은데요..
배뚱이 글쓴이 2023.03.21. 12:53
달소
ㅠㅠ
도커가 DSM이랑 물리적으로 같은 위치다보니
공유기단에서 막을 수는 없고

도커 이미지 자체에서 막으려고해도
iptables 같은건 커널단에서 동작을 해서 그런가
컨테이너 안에서는 동작이 안되더라고요ㅠㅠ
profile image 2등
hilee0602 2023.03.21. 09:20
도커 -> 헤놀로지이 접근을 막으면 도커의 네트워크 자체가 안되지 않을까요? 도커의 모든 패킷은 헤놀을 통해서 외부로 나가야 하는데요????
배뚱이 글쓴이 2023.03.21. 12:31
hilee0602
덤프를 해보니 게이트웨이 통신을 위한 ARP 패킷 말고는 없습니다.
ARP패킷이 혹 막힌다면 이것만 처리해주면 될 것 같아서요.

A(컨테이너) -> B(NAS) -> C(외부사이트)
구성이라고 했을때
실제 패킷의 흐름은 A->B 로 가지만
패킷의 dst IP에는 C가 적혀있습니다.
방화벽 정책은 저 dst IP를 보기때문에 막히지 않을 것 같아요.
profile image
hilee0602 2023.03.21. 18:01
배뚱이
당연히 A에서 발생된 패킷의 목적지 IP는 C가 적힐 수 밖에 없죠... 하지만 패킷 이동 경로는 A->B->C로 가는게 맞아요.
왜냐면 모든 Docker의 IP 주소는 172. 대역으로 사설 IP이기 때문에 외부로 나가기 위해선 Routing을 통해서 패킷이 B의 공인 IP Interface로 나가는거에요.

어쨋든... 들어온 인터페이스가 Docker Interface이고 목적지 IP가 NAS IP인 패킷을 막고 싶으시면 아래 규칙을 추가 하시면 돼요

- iptables -I INPUT -i {Docker Interface이름} -d {NAS IP주소} -j DROP
배뚱이 글쓴이 2023.03.21. 20:47
hilee0602
오 이거 DSM에서 해도되나요?
이걸 해보고 싶긴한데 DSM은 iptables를 직접 만지는걸 권장하지 않는것 같아서
해도 되는지 모르겠더라고요...;;;
이거 추가해도 될까요?
profile image
hilee0602 2023.03.22. 07:15
배뚱이
그냥은 안되는거 같고요 ip_tables 모듈이 부팅 시 등록되지 않네요..(부팅 시 자동으로 하는 방법은 찾아보셔야 할듯요)
모듈 등록 방법은 다음과 같아요

1. cd /lib/modules
2. sudo modprobe ip_tables

위와 같이 하시면 iptables 모듈이 등록되서 사용 가능하고요. 그런 다음 제가 위에 남겨 놓은 iptables 명령을 입력 하시면 돼요. 잘 등록 되었는지는 아래 명령어 참고 하시고요

- sudo iptables -nvL

위와 같이 입력 하셨을 때 Chain INPUT에 입력하신 규칙이 있으면 등록된거에요.
iptables 명령어 쓰실 때 sudo 입력 하시는거 잊지 마시고요~
3등
배뚱이 글쓴이 2023.03.22. 07:34
오 감사합니다ㅎ
그런데 궁금한게 하나 있는데
이 명령어를 DSM에서 입력하는거죵?

DSM에 iptables가 있어서
GUI 방화벽 정책 수정하면
해당 내용이 INPUT체인이랑 FORWARD체인에 등록되는 방식으로 동작하는것 같던데

Modprobe iptables를 해줘야하는건가용?

댓글 쓰기 권한이 없습니다. 로그인

취소 댓글 등록

cmt alert

신고

"님의 댓글"

이 댓글을 신고하시겠습니까?

댓글 삭제

"님의 댓글"

삭제하시겠습니까?


목록

공유

facebooktwitterpinterestbandkakao story
번호 분류 제목 글쓴이 날짜 조회 추천
정보 안녕하세요! 새로 가입했습니다. 5 Razorbacks 7시간 전18:06 68 +1
정보 서버포럼 가입인사겸 저의 홈서버를 소개합니다!! 9 툭툭이 13시간 전11:14 369 +9
잡담 가지고 놀기 좋은걸 찾았습니다. 8 주차장 2일 전17:47 466 +1
3778 오픈소스
image
달소 2시간 전22:53 40 0
3777 정보
image
달소 2시간 전22:48 28 0
3776 정보
image
Razorbacks 7시간 전18:06 68 +1
3775 질문
normal
맛밥 9시간 전15:34 146 0
3774 정보
image
툭툭이 13시간 전11:14 369 +9
3773 질문
normal
유니파트 1일 전22:09 197 0
3772 질문
image
반투검스 1일 전12:46 68 0
3771 질문
normal
니즛 2일 전00:37 340 0
3770 잡담
image
주차장 2일 전17:47 466 +1
3769 질문
image
양미 2일 전11:16 216 0
3768 질문
normal
주차장 3일 전23:44 170 0
3767 질문
image
surno 4일 전00:56 122 0
3766 질문
image
TANG 4일 전19:14 402 0
3765 질문
image
게르노 5일 전23:55 460 0
3764 질문
normal
very 5일 전09:57 209 0
3763 질문
normal
ljr10 5일 전09:11 86 0
3762 질문
normal
very 6일 전18:04 242 0
3761 가이드
normal
minis 6일 전14:20 156 0
3760 잡담
normal
아나나나나다 24.03.21.12:58 372 0
3759 질문
normal
하핳 24.03.20.14:19 205 0