2
Problematik UFW- Docker (Ubuntu)
Hallo,
ich möchte diverse Docker Container unter Ubuntu 20.04 laufen lassen.
Ich habe mich etwas eingelesen und dabei gefunden, dass Docker anscheinend die UFW umgeht und quasi "abgesicherte Tore wieder aufmacht".
Eine Lösung soll das hier sein:
https://github.com/chaifeng/ufw-docker#tldr
Ich hab da kurz ein paar Fragen, ob ich das alles so richtig verstanden habe:
- Das Tool ufw docker behebt das Problem, dass Docker die Firewall „aufreißt“. Richtig?
- Für meine Standard, nicht Docker Dienste wie z.B. SSH etc trage ich meine Regeln nach wie vor normal in der ufw ein?
- Alle Firewallregeln, die irgendwas mit Docker Containern (z.B. Wirguard, Adguard, etc) zu tun haben, trage ich zukünftig mit ufw-docker allow … ein, nicht über UFW allow…., richtig?
- Muss man bei der ufw-docker Variante immer noch den Programmnamen dazu mitangeben (z.B,. ufw-docker allow adguardhome…), sprich wenn ich jetzt Wireguard per Docker laufen lassen würde, müsste ich dann die Regel mit ufw-docker allow wireguard … erstellen?
Kann mir hier jemand weiterhelfen?
Danke
Christian
ich möchte diverse Docker Container unter Ubuntu 20.04 laufen lassen.
Ich habe mich etwas eingelesen und dabei gefunden, dass Docker anscheinend die UFW umgeht und quasi "abgesicherte Tore wieder aufmacht".
Eine Lösung soll das hier sein:
https://github.com/chaifeng/ufw-docker#tldr
Ich hab da kurz ein paar Fragen, ob ich das alles so richtig verstanden habe:
- Das Tool ufw docker behebt das Problem, dass Docker die Firewall „aufreißt“. Richtig?
- Für meine Standard, nicht Docker Dienste wie z.B. SSH etc trage ich meine Regeln nach wie vor normal in der ufw ein?
- Alle Firewallregeln, die irgendwas mit Docker Containern (z.B. Wirguard, Adguard, etc) zu tun haben, trage ich zukünftig mit ufw-docker allow … ein, nicht über UFW allow…., richtig?
- Muss man bei der ufw-docker Variante immer noch den Programmnamen dazu mitangeben (z.B,. ufw-docker allow adguardhome…), sprich wenn ich jetzt Wireguard per Docker laufen lassen würde, müsste ich dann die Regel mit ufw-docker allow wireguard … erstellen?
Kann mir hier jemand weiterhelfen?
Danke
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667107
Url: https://administrator.de/forum/problematik-ufw-docker-ubuntu-667107.html
Ausgedruckt am: 30.12.2024 um 15:12 Uhr
2 Kommentare
Neuester Kommentar
Moin,
kann nicht sagen was ufw-docker macht, aber das thema ist grundsätzlich folgendes:
Docker trägt automatisch eigene chains in deine ipconfig rules ein (ufw ist nur ein "frontend" für iptables) - wie du damit umgehst ist ganz gut von docker selbst erklärt:
https://docs.docker.com/network/iptables/
Ansatz:
Verbiete in der iptables chain DOCKER-USER alles was du nicht haben willst.
d.h. Container starten, mit
schauen was in der DOCKER Chain steht, nun alles was du nicht haben willst in der DOCKER-USER Chain verbieten
alternativ: Docker ohne die iptables manipulationsmöglichkeiten starten, mit dem argument
dann musst du aber für alle container selbst regeln schreiben in dieser iptables
MFG
N-Dude
kann nicht sagen was ufw-docker macht, aber das thema ist grundsätzlich folgendes:
Docker trägt automatisch eigene chains in deine ipconfig rules ein (ufw ist nur ein "frontend" für iptables) - wie du damit umgehst ist ganz gut von docker selbst erklärt:
https://docs.docker.com/network/iptables/
Ansatz:
Verbiete in der iptables chain DOCKER-USER alles was du nicht haben willst.
d.h. Container starten, mit
iptables -Lalternativ: Docker ohne die iptables manipulationsmöglichkeiten starten, mit dem argument
--iptables=falseMFG
N-Dude
Danke für die Antwort. Das ufw-docker löst das so wie ich es verstanden habe eleganter. Ich wollte nur gerne eine Rückmeldung, ob ich es so richtig verstanden habe
