![[W11] W11 — Docker bypasses UFW: published ports không được bảo vệ](/web/image/blog.post/34/author_avatar/%5BW11%5D%20W11%20%E2%80%94%20Docker%20bypasses%20UFW:%20published%20ports%20kh%C3%B4ng%20%C4%91%C6%B0%E1%BB%A3c%20b%E1%BA%A3o%20v%E1%BB%87?unique=4241525)
⚠️ HIGH |
Category: Web & IT |
ID: W11 |
Owner: CEO
W11 — Docker bypasses UFW: published ports không được bảo vệ
Tóm tắt
Docker can thiệp trực tiếp vào iptables, bỏ qua UFW. Ports publish bởi Docker containers KHÔNG được UFW INPUT rules bảo vệ. Phải dùng DOCKER-USER chain.Cách xử lý
Chặn external access vào port XXXX
iptables -I DOCKER-USER -p tcp --dport XXXX ! -s 127.0.0.1 -j DROP
netfilter-persistent save
Ví dụ: Portainer port 9000 — phải chặn external, dùng SSH tunnel để truy cập:
ssh -L 9000:localhost:9000 root@72.62.195.248
📚 Published from Company Knowledge Base — W11
Last updated: 2026-03-14
Review by: 2026-06-12