背景 Dockerコンテナの各サービスポートを外部からフィルター制限するファイアウォール設定についてまとめてみました。 動作環境 ホスト側 OS:Ubuntu Server 22.04LTS Docker CE version 20.10.17 ファイアウォール設定する場所 全体のネットワーク構成としてサービスポートをフィルターする場所を決めます。 ホストの外側 クラウドのAWSではセキュリティグループ設定、オンプレ環境だとファイアウォール装置やルーター機器の機能が該当します。 この場合はDockerコンテナやホスト自体の管理外なので省略します。 ホスト自体 Ubuntuの場合は通常ufwが利用されますが、Dockerではiptableが使用されてufwの設定は反映されません。 ufwで設定したつもりがサービスポートが外部に開いていてハッキング攻撃を受けてしまうことがよくあります。 Doc
![Dockerのファイアウォール設定(ufwとiptables) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/ec53f79b839e1acc438e7c94670a365e9a706ae2/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9RG9ja2VyJUUzJTgxJUFFJUUzJTgzJTk1JUUzJTgyJUExJUUzJTgyJUE0JUUzJTgyJUEyJUUzJTgyJUE2JUUzJTgyJUE5JUUzJTgzJUJDJUUzJTgzJUFCJUU4JUE4JUFEJUU1JUFFJTlBJTI4dWZ3JUUzJTgxJUE4aXB0YWJsZXMlMjkmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTBkY2RlYTBhOThjZGI4MmE4Y2YxZjQ5YTE5NzRjMWU1%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwb2hoYXJhX3NoaW9qaXJpJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzImdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1iNzg2ZjVkM2ExZDY5MjhmNGJkY2IzYmQ0ZTkxNGQ1Mw%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Db43a18109b4e7db431c6d2352b623e06)