6
Komisches Verhalten Docker-Portainer-UFW-UFW Docker
Hallo zusammen,
ich habe gerade auf einem Webserver (Ubuntu, UFW + UFW Docker, um das Docker und UFW Problem zu lösen) einige Docker Container mit Portainer verteilt und eingerichtet.
Bisher wurden in der Firewall mit Hilfe von UFW Docker KEINE Regeln und Freigaben für irgendwelche Container erteilt. Alles zu.
Ein Test hat jedoch ergeben, dass alle Container und IP:externer Port erreichbar sind.
Ich habe mal mit iptables -L nachgeschaut und in der Chain DOCKER finden sich tatsächlich zu allen Containern Einträge, die den Zugriff auf die jeweiligen Ports zulassen.
Wie kann das denn sein? Ich nutze doch UFW Docker um gerade das zu verhindern.
Hab den Server jetzt erstmal wieder offline genommen, bis ich eine Lösung gefunden habe.
Kann hier jemand helfen?
Danke & Grüße
ich habe gerade auf einem Webserver (Ubuntu, UFW + UFW Docker, um das Docker und UFW Problem zu lösen) einige Docker Container mit Portainer verteilt und eingerichtet.
Bisher wurden in der Firewall mit Hilfe von UFW Docker KEINE Regeln und Freigaben für irgendwelche Container erteilt. Alles zu.
Ein Test hat jedoch ergeben, dass alle Container und IP:externer Port erreichbar sind.
Ich habe mal mit iptables -L nachgeschaut und in der Chain DOCKER finden sich tatsächlich zu allen Containern Einträge, die den Zugriff auf die jeweiligen Ports zulassen.
Wie kann das denn sein? Ich nutze doch UFW Docker um gerade das zu verhindern.
Hab den Server jetzt erstmal wieder offline genommen, bis ich eine Lösung gefunden habe.
Kann hier jemand helfen?
Danke & Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61012880451
Url: https://administrator.de/contentid/61012880451
Ausgedruckt am: 21.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Was steht in der /etc/dockerUFW/daemon.json
Hast du zufällig das Netwerk des/der Container im Host-Modus?
/etc/dockerUFW/daemon.json => Weder das Verzeichnis noch die Datei existiert
Nur ein der Wireguard Container hat ein Host Netz, die Regel hab ich dann aus der DOCKER Chain gelöscht, dann war Ruhe. Nur nach explizierter neuer UFW Regel gabs Zugriff.
Alle anderen Container Netzwerke sind bridge
1
Ich habe gester nalle diese Einträge in der Chain DOCKER gelöscht, Server heruntergefahren.
Jetzt nach Neustart sind die Einträge dort alle wieder da
Jetzt nach Neustart sind die Einträge dort alle wieder da
Also ich mache es immer so, dass ich alle Docker Container im Host Modus nutze und dann alles über UFW einschränke. Finde ich so am angenehmsten und übersteht Reboots etc.
Hab da auch ne Weile mit iptables rumgespielt und UFW-Docker, hat aber nie so 100%ig funktioniert.
Im das zu unterbinden musst du meine ich Docker den Zugriff auf iptables verwehren (weiß es leider nicht mehr aus dem Stegreif) und die Regeln unter Docker-User anlegen. Dann überleben Sie auch Neustarts.
Hab da auch ne Weile mit iptables rumgespielt und UFW-Docker, hat aber nie so 100%ig funktioniert.
Im das zu unterbinden musst du meine ich Docker den Zugriff auf iptables verwehren (weiß es leider nicht mehr aus dem Stegreif) und die Regeln unter Docker-User anlegen. Dann überleben Sie auch Neustarts.
