我在 Docker Swarm 集群中有两个节点。其中一个节点与接口上的 VPN 提供商有一个 OpenVPN 客户端连接tun0。我的目标是,
- 分配给该节点的任何服务都专门使用 VPN 连接
- 无泄漏(即 DNS 或其他流量)
- 如果 VPN 断开连接,所有流量都会被丢弃
- 允许服务发现和连接到 Swarm 中的其他容器
对于 DNS,我添加了一个dns条目,/etc/docker/daemon.json该条目使用只能通过 VPN 访问的 VPN 提供商的 DNS 服务器。
以下是我想出的 iptable 规则:
iptables -I DOCKER-USER 1 -o tun0 -j ACCEPT
iptables -I DOCKER-USER 2 -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -I DOCKER-USER 3 -j DROP
生成的DOCKER-USER链如下所示:
Chain DOCKER-USER (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
nslookup从运行和打开和关闭 VPN 连接等基本测试来看curl,这些规则似乎有效,但我对 iptables 的经验很少。这是这样做的正确方法吗?