u08154711
Goto Top

Komisches Verhalten Docker-Portainer-UFW-UFW Docker

Hallo zusammen,

ich habe gerade auf einem Webserver (Ubuntu, UFW + UFW Docker, um das Docker und UFW Problem zu lösen) einige Docker Container mit Portainer verteilt und eingerichtet.

Bisher wurden in der Firewall mit Hilfe von UFW Docker KEINE Regeln und Freigaben für irgendwelche Container erteilt. Alles zu.
Ein Test hat jedoch ergeben, dass alle Container und IP:externer Port erreichbar sind.

Ich habe mal mit iptables -L nachgeschaut und in der Chain DOCKER finden sich tatsächlich zu allen Containern Einträge, die den Zugriff auf die jeweiligen Ports zulassen.

Wie kann das denn sein? Ich nutze doch UFW Docker um gerade das zu verhindern.

Hab den Server jetzt erstmal wieder offline genommen, bis ich eine Lösung gefunden habe.

Kann hier jemand helfen?

Danke & Grüße

Content-ID: 61012880451

Url: https://administrator.de/forum/komisches-verhalten-docker-portainer-ufw-ufw-docker-61012880451.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

Xerebus
Xerebus 22.08.2024 um 11:05:56 Uhr
Goto Top
Was steht in der /etc/dockerUFW/daemon.json
PrieserMax
PrieserMax 22.08.2024 um 15:59:57 Uhr
Goto Top
Hast du zufällig das Netwerk des/der Container im Host-Modus?
U08154711
U08154711 22.08.2024 um 22:24:21 Uhr
Goto Top
Zitat von @Xerebus:

Was steht in der /etc/dockerUFW/daemon.json

/etc/dockerUFW/daemon.json => Weder das Verzeichnis noch die Datei existiert
U08154711
U08154711 22.08.2024 um 22:25:37 Uhr
Goto Top
Zitat von @PrieserMax:

Hast du zufällig das Netwerk des/der Container im Host-Modus?

Nur ein der Wireguard Container hat ein Host Netz, die Regel hab ich dann aus der DOCKER Chain gelöscht, dann war Ruhe. Nur nach explizierter neuer UFW Regel gabs Zugriff.
Alle anderen Container Netzwerke sind bridge
U08154711
U08154711 22.08.2024 um 22:30:03 Uhr
Goto Top
Ich habe gester nalle diese Einträge in der Chain DOCKER gelöscht, Server heruntergefahren.
Jetzt nach Neustart sind die Einträge dort alle wieder da
PrieserMax
PrieserMax 23.08.2024 um 09:07:48 Uhr
Goto Top
Also ich mache es immer so, dass ich alle Docker Container im Host Modus nutze und dann alles über UFW einschränke. Finde ich so am angenehmsten und übersteht Reboots etc.
Hab da auch ne Weile mit iptables rumgespielt und UFW-Docker, hat aber nie so 100%ig funktioniert.
Im das zu unterbinden musst du meine ich Docker den Zugriff auf iptables verwehren (weiß es leider nicht mehr aus dem Stegreif) und die Regeln unter Docker-User anlegen. Dann überleben Sie auch Neustarts.