2
Problematik UFW- Docker (Ubuntu)
Hallo,
ich möchte diverse Docker Container unter Ubuntu 20.04 laufen lassen.
Ich habe mich etwas eingelesen und dabei gefunden, dass Docker anscheinend die UFW umgeht und quasi "abgesicherte Tore wieder aufmacht".
Eine Lösung soll das hier sein:
https://github.com/chaifeng/ufw-docker#tldr
Ich hab da kurz ein paar Fragen, ob ich das alles so richtig verstanden habe:
- Das Tool ufw docker behebt das Problem, dass Docker die Firewall „aufreißt“. Richtig?
- Für meine Standard, nicht Docker Dienste wie z.B. SSH etc trage ich meine Regeln nach wie vor normal in der ufw ein?
- Alle Firewallregeln, die irgendwas mit Docker Containern (z.B. Wirguard, Adguard, etc) zu tun haben, trage ich zukünftig mit ufw-docker allow … ein, nicht über UFW allow…., richtig?
- Muss man bei der ufw-docker Variante immer noch den Programmnamen dazu mitangeben (z.B,. ufw-docker allow adguardhome…), sprich wenn ich jetzt Wireguard per Docker laufen lassen würde, müsste ich dann die Regel mit ufw-docker allow wireguard … erstellen?
Kann mir hier jemand weiterhelfen?
Danke
Christian
ich möchte diverse Docker Container unter Ubuntu 20.04 laufen lassen.
Ich habe mich etwas eingelesen und dabei gefunden, dass Docker anscheinend die UFW umgeht und quasi "abgesicherte Tore wieder aufmacht".
Eine Lösung soll das hier sein:
https://github.com/chaifeng/ufw-docker#tldr
Ich hab da kurz ein paar Fragen, ob ich das alles so richtig verstanden habe:
- Das Tool ufw docker behebt das Problem, dass Docker die Firewall „aufreißt“. Richtig?
- Für meine Standard, nicht Docker Dienste wie z.B. SSH etc trage ich meine Regeln nach wie vor normal in der ufw ein?
- Alle Firewallregeln, die irgendwas mit Docker Containern (z.B. Wirguard, Adguard, etc) zu tun haben, trage ich zukünftig mit ufw-docker allow … ein, nicht über UFW allow…., richtig?
- Muss man bei der ufw-docker Variante immer noch den Programmnamen dazu mitangeben (z.B,. ufw-docker allow adguardhome…), sprich wenn ich jetzt Wireguard per Docker laufen lassen würde, müsste ich dann die Regel mit ufw-docker allow wireguard … erstellen?
Kann mir hier jemand weiterhelfen?
Danke
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667107
Url: https://administrator.de/contentid/667107
Printed on: April 19, 2024 at 10:04 o'clock
2 Comments
Latest comment
Moin,
kann nicht sagen was ufw-docker macht, aber das thema ist grundsätzlich folgendes:
Docker trägt automatisch eigene chains in deine ipconfig rules ein (ufw ist nur ein "frontend" für iptables) - wie du damit umgehst ist ganz gut von docker selbst erklärt:
https://docs.docker.com/network/iptables/
Ansatz:
Verbiete in der iptables chain DOCKER-USER alles was du nicht haben willst.
d.h. Container starten, mit
schauen was in der DOCKER Chain steht, nun alles was du nicht haben willst in der DOCKER-USER Chain verbieten
alternativ: Docker ohne die iptables manipulationsmöglichkeiten starten, mit dem argument
dann musst du aber für alle container selbst regeln schreiben in dieser iptables
MFG
N-Dude
kann nicht sagen was ufw-docker macht, aber das thema ist grundsätzlich folgendes:
Docker trägt automatisch eigene chains in deine ipconfig rules ein (ufw ist nur ein "frontend" für iptables) - wie du damit umgehst ist ganz gut von docker selbst erklärt:
https://docs.docker.com/network/iptables/
Ansatz:
Verbiete in der iptables chain DOCKER-USER alles was du nicht haben willst.
d.h. Container starten, mit
iptables -Lalternativ: Docker ohne die iptables manipulationsmöglichkeiten starten, mit dem argument
--iptables=falseMFG
N-Dude
Danke für die Antwort. Das ufw-docker löst das so wie ich es verstanden habe eleganter. Ich wollte nur gerne eine Rückmeldung, ob ich es so richtig verstanden habe
