방화벽이 Docker 컨테이너에 바인딩된 비공개 포트에 대한 공용 트래픽을 허용하는 이유는 무엇입니까?

Question 1

글쎄, 문제는 내부 포트에 Docker를 사용하고 있다는 사실에서 비롯된 것으로 나타났습니다. 컨테이너가 전 세계 및 서로 통신하도록 하는 프로세스를 단순화하기 위해 Docker는 방화벽/네트워킹에 대해 많은 양의 제어를 수행하기로 결정했습니다. 즉, 만약 당신이~하지 않다컨테이너를 공개적으로 액세스할 수 있기를 원함그리고Docker 데몬과 동일한 시스템에서 방화벽을 통해 공개 액세스를 제어해야 하며, 방화벽을 약간 다르게 구성해야 합니다.Docker에는 이를 수행하는 방법에 대한 공식 문서가 있습니다.. 기본적으로 다음과 같은 옵션이 있습니다.

방화벽 전용 시스템을 별도로 설정하세요. Docker와 방화벽이 리소스를 공유할 필요가 없기 때문에 이것이 아마도 가장 쉬울 것입니다.
iptables체인 에 규칙을 추가하세요 DOCKER-USER(이것은 사용자를 위한 답변에 가깝습니다 . 이 접근 방식을 복제하는 iptables방법을 잘 모르겠습니다 ).firewalld
iptables=falseDocker 서비스 구성을 설정하여 모든 것을 비활성화하십시오 . (이 블로그 게시물이 옵션에 대해 논의합니다)

나도게시물을 찾았습니다체인 옵션 의 좋은 변형이라고 생각했습니다 DOCKER-USER. 기본적 iptables.conf으로 . iptables-restore -n안타깝게도 이는 iptables해결책이 아니라 firewalld해결책입니다.

이 문제를 진단할 때 어려운 부분 중 하나는 내가 원하는 것과 일치하도록 방화벽을 수정하는 스크립트를 실행하는 것이었습니다. 이 작업은 컴퓨터를 다시 시작하거나 Docker 데몬을 시작할 때까지 작동했습니다. Docker는 iptables시작 시 구성을 덮어씁니다.

Answer

글쎄, 문제는 내부 포트에 Docker를 사용하고 있다는 사실에서 비롯된 것으로 나타났습니다. 컨테이너가 전 세계 및 서로 통신하도록 하는 프로세스를 단순화하기 위해 Docker는 방화벽/네트워킹에 대해 많은 양의 제어를 수행하기로 결정했습니다. 즉, 만약 당신이~하지 않다컨테이너를 공개적으로 액세스할 수 있기를 원함그리고Docker 데몬과 동일한 시스템에서 방화벽을 통해 공개 액세스를 제어해야 하며, 방화벽을 약간 다르게 구성해야 합니다.Docker에는 이를 수행하는 방법에 대한 공식 문서가 있습니다.. 기본적으로 다음과 같은 옵션이 있습니다.

방화벽 전용 시스템을 별도로 설정하세요. Docker와 방화벽이 리소스를 공유할 필요가 없기 때문에 이것이 아마도 가장 쉬울 것입니다.
iptables체인 에 규칙을 추가하세요 DOCKER-USER(이것은 사용자를 위한 답변에 가깝습니다 . 이 접근 방식을 복제하는 iptables방법을 잘 모르겠습니다 ).firewalld
iptables=falseDocker 서비스 구성을 설정하여 모든 것을 비활성화하십시오 . (이 블로그 게시물이 옵션에 대해 논의합니다)

나도게시물을 찾았습니다체인 옵션 의 좋은 변형이라고 생각했습니다 DOCKER-USER. 기본적 iptables.conf으로 . iptables-restore -n안타깝게도 이는 iptables해결책이 아니라 firewalld해결책입니다.

이 문제를 진단할 때 어려운 부분 중 하나는 내가 원하는 것과 일치하도록 방화벽을 수정하는 스크립트를 실행하는 것이었습니다. 이 작업은 컴퓨터를 다시 시작하거나 Docker 데몬을 시작할 때까지 작동했습니다. Docker는 iptables시작 시 구성을 덮어씁니다.

Question 2

체인 을 다시 생성하여 이 문제를 해결했으며 DOCKER-USER다른 사람이 유용하다고 생각하는 경우를 대비해 공유하고 싶습니다.

이는 Github에서 찾은 솔루션을 기반으로 합니다(https://github.com/firewalld/firewalld/issues/869) 그리고 어떤 천재의 블로그(https://roosbertl.blogspot.com/2019/06/securing-docker-ports-with-firewalld.html) 하지만 조금 조정/정제해야 했습니다.

# 1. Stop Docker
systemctl stop docker.socket
systemctl stop docker.service

# 2. Recreate DOCKER-USER iptables chain with firewalld. Ignore warnings, do not ignore errors
firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER

# 3. Add iptables rules to DOCKER-USER chain - unrestricted outbound, restricted inbound to private IPs
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -m comment --comment 'Allow containers to connect to the outside world'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 127.0.0.0/8 -m comment --comment 'allow internal docker communication, loopback addresses'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 172.16.0.0/12 -m comment --comment 'allow internal docker communication, private range'

# 3.1 optional: for wider internal networks
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 10.0.0.0/8 -m comment --comment 'allow internal docker communication, private range'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 192.168.0.0/16 -m comment --comment 'allow internal docker communication, private range'

# 4. Block all other IPs. This rule has lowest precedence, so you can add rules before this one later.
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 -j REJECT -m comment --comment 'reject all other traffic to DOCKER-USER'

# 5. Activate rules
firewall-cmd --reload

# 6. Start Docker
systemctl start docker.socket
systemctl start docker.service

Answer

체인 을 다시 생성하여 이 문제를 해결했으며 DOCKER-USER다른 사람이 유용하다고 생각하는 경우를 대비해 공유하고 싶습니다.

이는 Github에서 찾은 솔루션을 기반으로 합니다(https://github.com/firewalld/firewalld/issues/869) 그리고 어떤 천재의 블로그(https://roosbertl.blogspot.com/2019/06/securing-docker-ports-with-firewalld.html) 하지만 조금 조정/정제해야 했습니다.

# 1. Stop Docker
systemctl stop docker.socket
systemctl stop docker.service

# 2. Recreate DOCKER-USER iptables chain with firewalld. Ignore warnings, do not ignore errors
firewall-cmd --permanent --direct --remove-chain ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --remove-rules ipv4 filter DOCKER-USER
firewall-cmd --permanent --direct --add-chain ipv4 filter DOCKER-USER

# 3. Add iptables rules to DOCKER-USER chain - unrestricted outbound, restricted inbound to private IPs
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -m comment --comment 'Allow containers to connect to the outside world'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 127.0.0.0/8 -m comment --comment 'allow internal docker communication, loopback addresses'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 172.16.0.0/12 -m comment --comment 'allow internal docker communication, private range'

# 3.1 optional: for wider internal networks
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 10.0.0.0/8 -m comment --comment 'allow internal docker communication, private range'
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 1 -j RETURN -s 192.168.0.0/16 -m comment --comment 'allow internal docker communication, private range'

# 4. Block all other IPs. This rule has lowest precedence, so you can add rules before this one later.
firewall-cmd --permanent --direct --add-rule ipv4 filter DOCKER-USER 10 -j REJECT -m comment --comment 'reject all other traffic to DOCKER-USER'

# 5. Activate rules
firewall-cmd --reload

# 6. Start Docker
systemctl start docker.socket
systemctl start docker.service

방화벽이 Docker 컨테이너에 바인딩된 비공개 포트에 대한 공용 트래픽을 허용하는 이유는 무엇입니까?

답변1

답변2

관련 정보