Jacksu 最近的时间轴更新 Jacksu 最近的时间轴更新 |
JacksuV2EX 第 515657 号会员,加入于 2020-11-02 17:52:45 +08:00今日活跃度排名 6477 |
Jacksu 最近回复了
2 天前 回复了 Cineray 创建的主题 › 程序员 › 群晖下 docker 容器 bridge 隔离网可以直接访问宿主机 |
针对 2 楼说的问题,防止局域网其它机器把网关改成 docker 宿主机去直接访问容器 IP ,可以添加一条规则(仅允许 192.168.0.6 这台电脑访问容器):
```ini
ip saddr {192.168.0.1-192.168.0.5, 192.168.0.7-192.168.0.254} ip daddr 172.18.0.0/16 drop comment "禁止局域网其它机器访问容器"
```
```ini
ip saddr {192.168.0.1-192.168.0.5, 192.168.0.7-192.168.0.254} ip daddr 172.18.0.0/16 drop comment "禁止局域网其它机器访问容器"
```
2 天前 回复了 Cineray 创建的主题 › 程序员 › 群晖下 docker 容器 bridge 隔离网可以直接访问宿主机 |
nftables/iptables 可以配置容器无法访问主机所在的局域网段的其它主机,但无法禁止容器访问宿主机(本身容器上网需要走宿主机,除非设置无网络也就是 none )
我自己的容器 nat 表下的 masquerade 规则如下
```ini
chain POSTROUTING {
type nat hook postrouting priority srcnat; policy accept;
ip saddr 172.18.0.118 ip daddr 192.168.0.6 tcp dport {8080, 8096} masquerade comment "允许 moviepilot 容器访问 windiws 主机 qb 网页端口和 emby 网页端口"
ip saddr 172.18.0.113 ip daddr 192.168.0.0/24 masquerade comment "允许 homepage 容器访问局域网(监控)"
ip saddr 172.18.0.0/16 ip daddr {192.168.0.0/24, 10.0.0.0/24} drop comment "禁止其它容器访问局域网"
oifname != "br-52a1ae707854" ip saddr 172.18.0.0/16 masquerade comment "允许容器访问外网"
ip saddr 172.18.0.103 ip daddr 172.18.0.103 tcp dport 3306 masquerade comment "端口开放"
ip saddr 172.18.0.116 ip daddr 172.18.0.116 tcp dport 8066 masquerade comment "端口开放"
ip saddr 172.18.0.115 ip daddr 172.18.0.115 tcp dport 8060 masquerade comment "端口开放"
oifname "ens32" masquerade comment "接受局域网机器的设备的透明"
}
```
我这里因为需要自定义容器的 IP ,所以使用了自定义的桥接网络,不使用默认的 docker0 网络
我自己的容器 nat 表下的 masquerade 规则如下
```ini
chain POSTROUTING {
type nat hook postrouting priority srcnat; policy accept;
ip saddr 172.18.0.118 ip daddr 192.168.0.6 tcp dport {8080, 8096} masquerade comment "允许 moviepilot 容器访问 windiws 主机 qb 网页端口和 emby 网页端口"
ip saddr 172.18.0.113 ip daddr 192.168.0.0/24 masquerade comment "允许 homepage 容器访问局域网(监控)"
ip saddr 172.18.0.0/16 ip daddr {192.168.0.0/24, 10.0.0.0/24} drop comment "禁止其它容器访问局域网"
oifname != "br-52a1ae707854" ip saddr 172.18.0.0/16 masquerade comment "允许容器访问外网"
ip saddr 172.18.0.103 ip daddr 172.18.0.103 tcp dport 3306 masquerade comment "端口开放"
ip saddr 172.18.0.116 ip daddr 172.18.0.116 tcp dport 8066 masquerade comment "端口开放"
ip saddr 172.18.0.115 ip daddr 172.18.0.115 tcp dport 8060 masquerade comment "端口开放"
oifname "ens32" masquerade comment "接受局域网机器的设备的透明"
}
```
我这里因为需要自定义容器的 IP ,所以使用了自定义的桥接网络,不使用默认的 docker0 网络
3 天前 回复了 isbase 创建的主题 › NAS › 关于 NAS 如何将所有盘位组合成一个逻辑卷 |
只推荐 mergerfs ,直接用文件夹组合成一个卷,非常灵活,并不破坏原有的文件结构,你还可以配置写入策略(比如平均写入或者按剩余容量)
24 天前 回复了 tsja 创建的主题 › NAS › 2024 最大幸福感的事:折腾 ALL IN ONE |
家用场景下,有什么是 openwrt 做不到而 ikuai 做得到的呢? AIO 好几年了,一直是单 openwrt 做主路由
<img src="https://imgur.com/a/jYS9tc5">
<img src="https://imgur.com/a/jYS9tc5">
25 天前 回复了 guoguobaba 创建的主题 › DNS › iPhone 在 clash 下仍然 dns 解析错误 |
DNS 里关闭 65 类型的 DNS 解析也就是 https 解析。
58 天前 回复了 delyuan 创建的主题 › 硬件 › 锐龙 R7-8845H 笔记本外接显示器后不能播放 B 站视频 |
如果你是用的一线通,那跟线没关系,大概率是你的笔记本 c 口供电不足。
71 天前 回复了 yuwancumian27149 创建的主题 › NAS › 123 网盘 3 年 228 元这个活动值得入手不? |
刚入,正在搬运 115 的资源中。最近被 115 限制搞烦了。20T-120T 的空间,这个价格应该是最低的了,就是不知道持续性和政策稳定性如何。我是拿来最做 nas 媒体库补充以及备份中转的,有没有资源无所谓。
Select Language