4
Ufw und MS-SQL in Docker Container
Hallo und einen schöne guten Nachmittag,
auf einem VServer im Internet habe ich Docker laufen und einen Microsoft SQL Server in einem Docker Container (Image: mcr.microsoft.com/mssql/server:2017-latest). Im ersten Schritt habe ich in Docker einen beliebigen Port auf den SQL Server gemappt, lassen wir es mal 56789:1433 sein. Soweit so gut, ich kann von Zuhause mit dem SQL Server Management Tool zugreifen über die Adresse <IP-des VServers>,56789 .
Jetzt will ich sensible Daten auf dem SQL Server verwalten, also sollte im nächsten Schritt der Server nicht mehr über das Internet erreichbar sein, nur noch über eine VPN-Verbindung zum VServer.
Als nächstes habe ich den Port, lassen wir es 56789 sein in ufw gesperrt (Freigabe-Rule gelöscht). Aber jetzt habe ich Bauklötze gestaunt. Ich kann noch immer mit den Managements Tools zugreifen. UFW neu gestartet, Vserver neu gestartet, explizit gesperrt mit ufw deny 56789. Ich kann tun was ich will, der SQL Server ist über das Internet erreichbar.
Kann mir bitte jemand sagen, wo mich hier einen Denkfehler mache. Oder wo Microsoft hier eine geheime Hintertüre geöffnet hat...
Grüße,
Paul
auf einem VServer im Internet habe ich Docker laufen und einen Microsoft SQL Server in einem Docker Container (Image: mcr.microsoft.com/mssql/server:2017-latest). Im ersten Schritt habe ich in Docker einen beliebigen Port auf den SQL Server gemappt, lassen wir es mal 56789:1433 sein. Soweit so gut, ich kann von Zuhause mit dem SQL Server Management Tool zugreifen über die Adresse <IP-des VServers>,56789 .
Jetzt will ich sensible Daten auf dem SQL Server verwalten, also sollte im nächsten Schritt der Server nicht mehr über das Internet erreichbar sein, nur noch über eine VPN-Verbindung zum VServer.
Als nächstes habe ich den Port, lassen wir es 56789 sein in ufw gesperrt (Freigabe-Rule gelöscht). Aber jetzt habe ich Bauklötze gestaunt. Ich kann noch immer mit den Managements Tools zugreifen. UFW neu gestartet, Vserver neu gestartet, explizit gesperrt mit ufw deny 56789. Ich kann tun was ich will, der SQL Server ist über das Internet erreichbar.
Kann mir bitte jemand sagen, wo mich hier einen Denkfehler mache. Oder wo Microsoft hier eine geheime Hintertüre geöffnet hat...
Grüße,
Paul
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666795
Url: https://administrator.de/contentid/666795
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
du kannst das Port Mapping auch einfach auf den lokalen Host beschränken.
Einfach so machen: 127.0.0.1:56789:1433
Dann kann nur noch über den localhost auf den Port zugreifen.
Trotzdem komisch, dass das mit Ufw nicht gehen soll. Docker darf nur den einen Port weiterleiten. Da kann MS nichts anderes im Container machen. Mal spaßeshalber +über iptables versucht den Port zu sperren nach außen?
du kannst das Port Mapping auch einfach auf den lokalen Host beschränken.
Einfach so machen: 127.0.0.1:56789:1433
Dann kann nur noch über den localhost auf den Port zugreifen.
Trotzdem komisch, dass das mit Ufw nicht gehen soll. Docker darf nur den einen Port weiterleiten. Da kann MS nichts anderes im Container machen. Mal spaßeshalber +über iptables versucht den Port zu sperren nach außen?
Danke für den Tipp. Probiere ich gleich aus. Trotzdem ist mir nicht ganz wohl, wenn ein Zugriff auf meinen Server möglich ist, den ich nicht verstehen kann. Mit iptables muss ich mich noch beschäftigen, hab ich noch nicht mit zu tun gehabt.
Inzwischen habe ich über ufw reset die Firewall zurückgesetzt und meinen SSH Port sowie 80 und 443 wieder freigegeben. Leider kann ich noch immer mit dem Management Studio auf den SQL Server zugreifen.
Ich check als nächstes mal den Zugriff über den VPN Tunnel und probiere dann mal die Beschränkung auf localhost wie von Dir vorgeschlagen.
Inzwischen habe ich über ufw reset die Firewall zurückgesetzt und meinen SSH Port sowie 80 und 443 wieder freigegeben. Leider kann ich noch immer mit dem Management Studio auf den SQL Server zugreifen.
Ich check als nächstes mal den Zugriff über den VPN Tunnel und probiere dann mal die Beschränkung auf localhost wie von Dir vorgeschlagen.
Also das geht wie von Dir vorgeschlagen, vielen Dank für den Hinweis.
Bleibt noch die Frage, warum der SQL Server erreichbar war. Kann es sein, dass der Server selbst versucht, die zuletzt bekannte Verbindung wieder herzustellen? Von innen nach außen geht ja...
Bleibt noch die Frage, warum der SQL Server erreichbar war. Kann es sein, dass der Server selbst versucht, die zuletzt bekannte Verbindung wieder herzustellen? Von innen nach außen geht ja...
Moin,
das Problem/Darstellung der ufw in Kombination mit Docker ist mehr oder weniger bekannt. Details inkl. Lösung kannst du hier nachlesen.
Gruß,
Dani
das Problem/Darstellung der ufw in Kombination mit Docker ist mehr oder weniger bekannt. Details inkl. Lösung kannst du hier nachlesen.
Gruß,
Dani
