Estou tentando implantar um sistema usando o docker compose que contém o servidor mysql. O servidor é compartilhado entre os contêineres docker na mesma rede.
Eu preciso acessar o banco de dados mysql de um servidor externo específico em nossa rede, então publiquei a porta mysql (3306) no arquivo de composição do docker.
Mas como uma questão de segurança, quero bloquear qualquer outro ip que tente acessar esta porta.
Eu tentei muitas regras do iptables e todas elas bloquearam contêineres dentro do docker-compose ou permitiram que outros servidores acessassem a porta.
ps Vou mudar todas as permissões de usuário no servidor mysql, mas bloquear a porta é a primeira coisa que queremos fazer.
Você pode configurar as entradas do iptables na tabela DOCKER-USER. Isso é feito fora do docker. Por exemplo, se você está preocupado com solicitações na interface eth0 para a porta 3306 de qualquer rede diferente de 10.0.0.0/24:
Observe que
conntracka porta de destino original e a trilha de conexão são necessárias em vez de uma regra de porta tcp normal para manipular as regras NAT e o mapeamento de porta.