🚨 紧急教程:彻底解决Docker隐式开放端口的安全隐患!
----------------------
问题由来
今天我启动了一个 docker 服务,通过 ip:port 的方式可以正常访问服务,但是在我查看防火墙的时候发现没有这个端口哇,奇怪了!!防火墙没有配置为啥能访问进来呢???勾起了我的好奇心,探究了一番有了以下教程,这个小知识点估计大佬们都知道了,但是涉及到安全问题,我相信好多小白可能还是不清楚的,安全问题多提几次我觉得也不为过,尤其是部署到公网上的服务尤其要引起重视!!
🔍️ 问题根源:Docker 端口映射的 “隐藏炸弹”
当使用
1. ** 对防火墙工具不可见 **:如
2. ** 绕过常规防火墙控制 **:Docker 的规则优先级高于用户自定义规则,导致安全策略失效;
3. ** 暴露端口到公网 **:默认绑定
----------------------
**💡 终极解决方案:显式绑定本地回环地址 **
通过 ** 限制端口仅允许本地访问 **,彻底规避 Docker 的隐式规则!
** 操作步骤 **
** 效果对比 **
----------------------
36 个帖子 - 29 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: greenTea)
----------------------
问题由来
今天我启动了一个 docker 服务,通过 ip:port 的方式可以正常访问服务,但是在我查看防火墙的时候发现没有这个端口哇,奇怪了!!防火墙没有配置为啥能访问进来呢???勾起了我的好奇心,探究了一番有了以下教程,这个小知识点估计大佬们都知道了,但是涉及到安全问题,我相信好多小白可能还是不清楚的,安全问题多提几次我觉得也不为过,尤其是部署到公网上的服务尤其要引起重视!!
🔍️ 问题根源:Docker 端口映射的 “隐藏炸弹”
当使用
docker run -p 3001:3001 时,**Docker 会自动在 iptables 中添加 NAT 规则 **,允许外部流量通过 3001 端口访问容器。然而,这些规则:1. ** 对防火墙工具不可见 **:如
firewalld、ufw 等工具无法直接管理这些规则;2. ** 绕过常规防火墙控制 **:Docker 的规则优先级高于用户自定义规则,导致安全策略失效;
3. ** 暴露端口到公网 **:默认绑定
0.0.0.0(所有 IP),可能被扫描攻击。----------------------
**💡 终极解决方案:显式绑定本地回环地址 **
通过 ** 限制端口仅允许本地访问 **,彻底规避 Docker 的隐式规则!
** 操作步骤 **
# 关键参数:将容器端口绑定到 127.0.0.1(仅本地访问)
docker run -d --name my_app \
-p 127.0.0.1:3001:3001 \
your_image:tag
** 效果对比 **
----------------------
36 个帖子 - 29 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: greenTea)
终于买到了,2999拿下<(^-^)>
刚好最近在北京实习,然后前两天发工资了👉️👈️,没忍住
狗东一直提示没货,今天下午打开淘宝一看竟然有货了
北京国补 + 教育优惠直接拿下了 :tieba_003:
另外,第一次用 mac 佬友们有啥好用的配件或者啥注意事项推荐一下嘛
27 个帖子 - 18 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Macketels)
刚好最近在北京实习,然后前两天发工资了👉️👈️,没忍住
狗东一直提示没货,今天下午打开淘宝一看竟然有货了
北京国补 + 教育优惠直接拿下了 :tieba_003:
另外,第一次用 mac 佬友们有啥好用的配件或者啥注意事项推荐一下嘛
27 个帖子 - 18 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Macketels)
面對他即使是小事情
前面幾天我都處於挺陰暗的時候
許多陰暗文案在我腦中發酵
但今天感覺特別好
是因為我完成了很多事嗎
但之前的幾天也是有同樣的結果
所以不太算是
想來是因為面對
前面兩天我都沒拿出電腦
因為我懶得拿出來 然後連接
挺好笑的 但這也導致後續的重要任務無法達成 導致更加焦慮
今天我儘管不願意
但還是拿出來 用目前最有效率的方式連接好電腦
然後開啟了這精彩的晚上
前面的不贅述 還開啟了手機上的虛擬機
我只能說這個東西潛力無限 可以期待我 也可以期待各路大佬開闢道路
所以總結
面對所有事
小事面對了才能面對後面的事
現實世界比較沒有生命威脅
但是一直逃避只會讓焦慮越來越大
最後心情好
抽個 api key 10刀 任意留言 一位
我自己的站
17 个帖子 - 8 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 善解人意屬實有點害羞)
前面幾天我都處於挺陰暗的時候
許多陰暗文案在我腦中發酵
但今天感覺特別好
是因為我完成了很多事嗎
但之前的幾天也是有同樣的結果
所以不太算是
想來是因為面對
前面兩天我都沒拿出電腦
因為我懶得拿出來 然後連接
挺好笑的 但這也導致後續的重要任務無法達成 導致更加焦慮
今天我儘管不願意
但還是拿出來 用目前最有效率的方式連接好電腦
然後開啟了這精彩的晚上
前面的不贅述 還開啟了手機上的虛擬機
我只能說這個東西潛力無限 可以期待我 也可以期待各路大佬開闢道路
所以總結
面對所有事
小事面對了才能面對後面的事
現實世界比較沒有生命威脅
但是一直逃避只會讓焦慮越來越大
最後心情好
抽個 api key 10刀 任意留言 一位
我自己的站
17 个帖子 - 8 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 善解人意屬實有點害羞)
再補一個pixel 手機的好處
除了可以linux虛擬機
Gemini系列的模型對於gemini系列問題相當熟悉
要找setting 當中 怎麼去到某個選項能當很好的指路者
12 个帖子 - 5 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 善解人意屬實有點害羞)
除了可以linux虛擬機
Gemini系列的模型對於gemini系列問題相當熟悉
要找setting 當中 怎麼去到某個選項能當很好的指路者
12 个帖子 - 5 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 善解人意屬實有點害羞)
关于 ai 编程,分享一些碎碎念,主要是 c3.7 和 aider
从gifcapture:纯前端实现的gif录制程序,即用即走🎉继续讨论:
也算是从零开始用ai写完了一个小项目,分享一下用ai编程的过程,脑子比较乱,就当水贴了。
ai 能作为生产力工具,这应该是共识了吧?如何实践?那就写一个小项目吧。
项目选型不能太复杂,也不能太简单,因为毕竟要实践怎么能让 ai 融入日常的写代码任务中,所以项目的技术栈选型要符合以下几点:
● 整个项目的基础要是我熟悉的领域,否则就变成纯学习了。
● 技术栈不能完全小众,不能是 ai 完全不知道的东西。毕竟大模型上下文长度在那放着呢。
● 技术选型要有我完全不了解的组件,因为我需要一个 ai 知道但是我不知道场景,实践一下在这个场景下 ai 如何辅助人
● 所用的技术最近要有更新,以便测试如何让ai处理他的训练数据没有的内容
所以最后就选择做一个录制 gif 的小工具,技术栈是:vite ,react, shadcn, tailwindcss v4 ,konva,gif.js
我不熟悉的领域是 canvas,视频流,gif,其中完全不了解的技术组件是 konva 。
最近有更新的是 tailwindcss v4,配置方式完全不一样了,附带着 shadcn 的配置也不一样了
工具选择
从去年底就一直在折腾这些东西,cursor, cline,aider。
先说cursor,好东西,贵。这玩意从他一开始放出来就下载体验了,当时还没 c3.5 ,我嫌弃他是单独的 ide,我原本折腾了好久的vscode又得换掉,有点抵触,最后 c3.5 出来以后它彻底出圈。最大的缺点是白嫖太折腾,生产力工具不稳定,比吃屎还难受,而且订阅了以后限制还是很大,500次一月根本不够用,所以pass
再说cline,这玩意和 roo code 其实差不多,合并一起唠。
我真是无力吐槽,用量图 ,这个帖子是我用cline配置mcp时候的 token 用量图,输入 150w token,输出 3w token,这是人干事?我甚至都还没开始写代码!它的实现思路就是把 prompt 和 用户提问,还有项目源码一股脑往 llm 那里塞,直到把 LLM 上下文塞爆,然后再重新对话,垃圾玩意滚粗。
再说 aider,这是我目前用下来体验最好,强推。
● 命令行工具,你可以在vscode单独开一个终端,挂在那里就行,无缝集成
● 所以用 jb 写 java 应该也可以挂一个aider在终端,但我没试过
● 使用repo map做项目结构给 LLM,这点完爆 cline,可以看这里
● architect 模式,推理模型专注规划,非推理模型专注修改,LLM 本身也是越具体的小任务就做的越好
● 指哪改哪,也就是说,除非你明确的添加文件为可修改,否则不瞎改
● 深度集成 git ,我从来没写过这么规范的 commit message
● 它把它自己的文档做了arg,不会的直接 /help 问就好了
● 跟 copliot 无冲突,偶尔一眼能看到的错误就用 copilot 的补全改一下,不用去 aider 里面对话了。
LLm选择
c3.7 毋庸置疑,次一级选择是r1+v3, aider 的 architect 模式中 r1+v3 也可用,我大概10%的代码是用 r1+v3 写的,剩下的都是 c3.7。现在回想,如果非前端, r1+v3的组合应该也可以满足,但是可能需要自己小修小改
过程体验
c3.7 真是牛逼,在aider 的 architect 模式下,80%的任务一次过。剩下那20%的任务,现在回想起来,是我自己犯懒,完全不想思考了。当人犯懒,丢给LLM一个模糊任务,不能指望它把任务做的完全符合你心意,对吧?特别是在一个稍微有点规模的项目里面。除非你对任务没有什么要求,就想看模型自由发挥。
当人完全没思路的时候,就用 /ask 模式聊,聊各种解决方案,聊完了就用 /code 让他实现。因为是深度集成了 git ,所以随便改,不合适回滚就是了。当清晰的知道解决思路,就用 /architect 直接写。
整个项目写了大概两个多星期,每天一两小时。konva 还是不会,但我知道了它的概念,大致的用法,你要让我手写,那没辙,我不了解具体的函数,就只知道它有那个功能函数,连函数名都不知道。
总结
● 有 ai 了以后,学习是更加必要的,但变了,广度比深度重要,除非你是搞前沿研究的。
● 实践变得更简单了,不需要扣每一个技术细节。
● 技术基础比技术框架更重要,前端娱乐圈那一堆狗屎了解下就好,脏活让LLM干
以及最后,真的会有 AGI 吗? 🫠
rules.zip (2.7 KB)
34 个帖子 - 19 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 近战法师)
从gifcapture:纯前端实现的gif录制程序,即用即走🎉继续讨论:
也算是从零开始用ai写完了一个小项目,分享一下用ai编程的过程,脑子比较乱,就当水贴了。
ai 能作为生产力工具,这应该是共识了吧?如何实践?那就写一个小项目吧。
项目选型不能太复杂,也不能太简单,因为毕竟要实践怎么能让 ai 融入日常的写代码任务中,所以项目的技术栈选型要符合以下几点:
● 整个项目的基础要是我熟悉的领域,否则就变成纯学习了。
● 技术栈不能完全小众,不能是 ai 完全不知道的东西。毕竟大模型上下文长度在那放着呢。
● 技术选型要有我完全不了解的组件,因为我需要一个 ai 知道但是我不知道场景,实践一下在这个场景下 ai 如何辅助人
● 所用的技术最近要有更新,以便测试如何让ai处理他的训练数据没有的内容
所以最后就选择做一个录制 gif 的小工具,技术栈是:vite ,react, shadcn, tailwindcss v4 ,konva,gif.js
我不熟悉的领域是 canvas,视频流,gif,其中完全不了解的技术组件是 konva 。
最近有更新的是 tailwindcss v4,配置方式完全不一样了,附带着 shadcn 的配置也不一样了
工具选择
从去年底就一直在折腾这些东西,cursor, cline,aider。
先说cursor,好东西,贵。这玩意从他一开始放出来就下载体验了,当时还没 c3.5 ,我嫌弃他是单独的 ide,我原本折腾了好久的vscode又得换掉,有点抵触,最后 c3.5 出来以后它彻底出圈。最大的缺点是白嫖太折腾,生产力工具不稳定,比吃屎还难受,而且订阅了以后限制还是很大,500次一月根本不够用,所以pass
再说cline,这玩意和 roo code 其实差不多,合并一起唠。
我真是无力吐槽,用量图 ,这个帖子是我用cline配置mcp时候的 token 用量图,输入 150w token,输出 3w token,这是人干事?我甚至都还没开始写代码!它的实现思路就是把 prompt 和 用户提问,还有项目源码一股脑往 llm 那里塞,直到把 LLM 上下文塞爆,然后再重新对话,垃圾玩意滚粗。
再说 aider,这是我目前用下来体验最好,强推。
● 命令行工具,你可以在vscode单独开一个终端,挂在那里就行,无缝集成
● 所以用 jb 写 java 应该也可以挂一个aider在终端,但我没试过
● 使用repo map做项目结构给 LLM,这点完爆 cline,可以看这里
● architect 模式,推理模型专注规划,非推理模型专注修改,LLM 本身也是越具体的小任务就做的越好
● 指哪改哪,也就是说,除非你明确的添加文件为可修改,否则不瞎改
● 深度集成 git ,我从来没写过这么规范的 commit message
● 它把它自己的文档做了arg,不会的直接 /help 问就好了
● 跟 copliot 无冲突,偶尔一眼能看到的错误就用 copilot 的补全改一下,不用去 aider 里面对话了。
LLm选择
c3.7 毋庸置疑,次一级选择是r1+v3, aider 的 architect 模式中 r1+v3 也可用,我大概10%的代码是用 r1+v3 写的,剩下的都是 c3.7。现在回想,如果非前端, r1+v3的组合应该也可以满足,但是可能需要自己小修小改
过程体验
c3.7 真是牛逼,在aider 的 architect 模式下,80%的任务一次过。剩下那20%的任务,现在回想起来,是我自己犯懒,完全不想思考了。当人犯懒,丢给LLM一个模糊任务,不能指望它把任务做的完全符合你心意,对吧?特别是在一个稍微有点规模的项目里面。除非你对任务没有什么要求,就想看模型自由发挥。
当人完全没思路的时候,就用 /ask 模式聊,聊各种解决方案,聊完了就用 /code 让他实现。因为是深度集成了 git ,所以随便改,不合适回滚就是了。当清晰的知道解决思路,就用 /architect 直接写。
整个项目写了大概两个多星期,每天一两小时。konva 还是不会,但我知道了它的概念,大致的用法,你要让我手写,那没辙,我不了解具体的函数,就只知道它有那个功能函数,连函数名都不知道。
总结
● 有 ai 了以后,学习是更加必要的,但变了,广度比深度重要,除非你是搞前沿研究的。
● 实践变得更简单了,不需要扣每一个技术细节。
● 技术基础比技术框架更重要,前端娱乐圈那一堆狗屎了解下就好,脏活让LLM干
以及最后,真的会有 AGI 吗? 🫠
rules.zip (2.7 KB)
34 个帖子 - 19 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 近战法师)
目前哪个大模型的OCR能力更强?
目前想上传pdf文件把公式转换出来,但是不知道该用哪个模型准确度更高,也没有相关的benchmark,现在是gemini2.0flash更好吗?
25 个帖子 - 16 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 莱特昂斯戴)
目前想上传pdf文件把公式转换出来,但是不知道该用哪个模型准确度更高,也没有相关的benchmark,现在是gemini2.0flash更好吗?
25 个帖子 - 16 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: 莱特昂斯戴)
WinRAR 7.10简体中文商业版
官网和代理商官网都是个人免费版,和商业版的区别是,商业版注册后没有广告。
7.10正式版:
24 个帖子 - 18 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: singbox)
官网和代理商官网都是个人免费版,和商业版的区别是,商业版注册后没有广告。
7.10正式版:
https://www.win-rar.com/fileadmin/winrar-versions/sc/sc20251003/wrr/winrar-x64-710sc.exe7.10开发版:
https://www.win-rar.com/fileadmin/winrar-versions/sc/sc20251003/rrlb/winrar-x64-710sc.exe
24 个帖子 - 18 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: singbox)
一大早起来,看到 GitHub 让我立遗嘱?
是不是因为我昨天我的一个项目超过 1k star 了?github.com
GitHub - codexu/note-gen: 一款专注于记录和写作的跨端 AI 笔记应用。
一款专注于记录和写作的跨端 AI 笔记应用。
----------------------
补充一下
还真的是我死了之后才可以继承。
32 个帖子 - 30 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: codexu)
是不是因为我昨天我的一个项目超过 1k star 了?github.com
GitHub - codexu/note-gen: 一款专注于记录和写作的跨端 AI 笔记应用。
一款专注于记录和写作的跨端 AI 笔记应用。
----------------------
补充一下
还真的是我死了之后才可以继承。
32 个帖子 - 30 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: codexu)
✍1
Google Gemini 向所有用户免费开放 Deep Research 和 Gem 功能,新增Personalization (experimental)功能——可将搜索记录作为上下文。x.com
Logan Kilpatrick
@OfficialLoganK
Big updates to the @GeminiApp today: - Deep Research is now available to all users for free - Deep Research is now powered by 2.0 Flash Thinking (our reasoning model) - New Gemini personalization using your search history - Gems are available to all users And more in 🧵
4:36 PM - 13 Mar 2025 3.1K 250
不得不说,Google 真大善人,比起另外两家,不刻意针对中国用户,还免费提供API,有什么好东西都第一时间在 AI Studio 和兄弟们分享,Gemini 2.0 Flash 又便宜又快又好用。
有佬友测试,现在 limit 是 1 个月 5 次,免费的没办法要求更多了。
Google Gemini 向所有用户免费开放Deep Research和Gem功能,新增Personalization (experimental)功能,可将搜索记录作为上下文。前沿快讯
39 个帖子 - 23 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Juya)
Logan Kilpatrick
@OfficialLoganK
Big updates to the @GeminiApp today: - Deep Research is now available to all users for free - Deep Research is now powered by 2.0 Flash Thinking (our reasoning model) - New Gemini personalization using your search history - Gems are available to all users And more in 🧵
4:36 PM - 13 Mar 2025 3.1K 250
不得不说,Google 真大善人,比起另外两家,不刻意针对中国用户,还免费提供API,有什么好东西都第一时间在 AI Studio 和兄弟们分享,Gemini 2.0 Flash 又便宜又快又好用。
有佬友测试,现在 limit 是 1 个月 5 次,免费的没办法要求更多了。
Google Gemini 向所有用户免费开放Deep Research和Gem功能,新增Personalization (experimental)功能,可将搜索记录作为上下文。前沿快讯
You are nearing your limit of 5 research reports. You can generate 4 more until 4月 13 . 您已接近 5 份研究报告的上限。您可以再生成 4 份,直到 4 月 13 日。 只用了一次就提醒了,有点少啊[tieba_087]
39 个帖子 - 23 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Juya)
👍1
各位大佬,2级卡3级有一段时间了,大家是怎么获取到点赞的呀
之前分享了两次网易云的 7 天会员,但是得到的点赞很少,甚至会员都没有被领完,看了下应该是分享这个会员的太多了,大家还知道有什么可以获得点赞的方法吗tieba_009
34 个帖子 - 32 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: lori255)
之前分享了两次网易云的 7 天会员,但是得到的点赞很少,甚至会员都没有被领完,看了下应该是分享这个会员的太多了,大家还知道有什么可以获得点赞的方法吗tieba_009
34 个帖子 - 32 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: lori255)
分享一个国外满血版deepseek R1
无需注册,无需登录,即可使用R1和联网功能,缺点是不能识别图片,代码输出的UI界面可读性较差
链接: DeepSeek R1/V3: Fastest Free AI Chat Online | 671B Full Version, No Sign-Up
52 个帖子 - 45 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Jiushuself)
无需注册,无需登录,即可使用R1和联网功能,缺点是不能识别图片,代码输出的UI界面可读性较差
链接: DeepSeek R1/V3: Fastest Free AI Chat Online | 671B Full Version, No Sign-Up
52 个帖子 - 45 位参与者
阅读完整话题
via LINUX DO - 热门话题 (author: Jiushuself)