paulinuska
Goto Top

Ufw und MS-SQL in Docker Container

Hallo und einen schöne guten Nachmittag,

auf einem VServer im Internet habe ich Docker laufen und einen Microsoft SQL Server in einem Docker Container (Image: mcr.microsoft.com/mssql/server:2017-latest). Im ersten Schritt habe ich in Docker einen beliebigen Port auf den SQL Server gemappt, lassen wir es mal 56789:1433 sein. Soweit so gut, ich kann von Zuhause mit dem SQL Server Management Tool zugreifen über die Adresse <IP-des VServers>,56789 .

Jetzt will ich sensible Daten auf dem SQL Server verwalten, also sollte im nächsten Schritt der Server nicht mehr über das Internet erreichbar sein, nur noch über eine VPN-Verbindung zum VServer.

Als nächstes habe ich den Port, lassen wir es 56789 sein in ufw gesperrt (Freigabe-Rule gelöscht). Aber jetzt habe ich Bauklötze gestaunt. Ich kann noch immer mit den Managements Tools zugreifen. UFW neu gestartet, Vserver neu gestartet, explizit gesperrt mit ufw deny 56789. Ich kann tun was ich will, der SQL Server ist über das Internet erreichbar.

Kann mir bitte jemand sagen, wo mich hier einen Denkfehler mache. Oder wo Microsoft hier eine geheime Hintertüre geöffnet hat...

Grüße,
Paul

Content-Key: 666795

Url: https://administrator.de/contentid/666795

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: EvilMoe
EvilMoe 17.05.2021 um 16:18:49 Uhr
Goto Top
Hallo,

du kannst das Port Mapping auch einfach auf den lokalen Host beschränken.
Einfach so machen: 127.0.0.1:56789:1433

Dann kann nur noch über den localhost auf den Port zugreifen.

Trotzdem komisch, dass das mit Ufw nicht gehen soll. Docker darf nur den einen Port weiterleiten. Da kann MS nichts anderes im Container machen. Mal spaßeshalber +über iptables versucht den Port zu sperren nach außen?
Mitglied: PaulinusKA
PaulinusKA 17.05.2021 um 16:48:41 Uhr
Goto Top
Danke für den Tipp. Probiere ich gleich aus. Trotzdem ist mir nicht ganz wohl, wenn ein Zugriff auf meinen Server möglich ist, den ich nicht verstehen kann. Mit iptables muss ich mich noch beschäftigen, hab ich noch nicht mit zu tun gehabt.

Inzwischen habe ich über ufw reset die Firewall zurückgesetzt und meinen SSH Port sowie 80 und 443 wieder freigegeben. Leider kann ich noch immer mit dem Management Studio auf den SQL Server zugreifen.

Ich check als nächstes mal den Zugriff über den VPN Tunnel und probiere dann mal die Beschränkung auf localhost wie von Dir vorgeschlagen.
Mitglied: PaulinusKA
PaulinusKA 17.05.2021 um 17:38:39 Uhr
Goto Top
Also das geht wie von Dir vorgeschlagen, vielen Dank für den Hinweis.

Bleibt noch die Frage, warum der SQL Server erreichbar war. Kann es sein, dass der Server selbst versucht, die zuletzt bekannte Verbindung wieder herzustellen? Von innen nach außen geht ja...
Mitglied: Dani
Dani 17.05.2021 um 18:10:46 Uhr
Goto Top
Moin,
das Problem/Darstellung der ufw in Kombination mit Docker ist mehr oder weniger bekannt. Details inkl. Lösung kannst du hier nachlesen.


Gruß,
Dani