ufw lässt alles durch?!

  • Hallo,


    habe eben ufw  auf meinem Debian (Stretch) Server installiert. Folgende Befehle habe ich ausgeführt:

    Code
    ufw allow <mein SSH Port>
    ufw enable
    ufw default deny incoming
    ufw default allow outgoing

    ufw status verbose liefert dementsprechend:

    Code
    Status: active
    Logging: on (low)
    Default: deny (incoming), allow (outgoing), deny (routed)
    New profiles: skip
    
    To                         Action      From
    --                         ------      ----
    <mein SSH Port>            ALLOW IN    Anywhere
    <mein SSH Port> (v6)       ALLOW IN    Anywhere (v6)


    Habe den Server eben auch nochmal kurz neugestartet. Ansonsten läuft dort nur: mailcow im Dockercontainer sowie pritunl als VPN-Server.


    Es ist mir immer noch möglich, E-Mails zu senden/zu empfangen, das sollte ja eigentlich nicht so sein...

  • Hi,


    so weit macht ufw ja nicht mehr, als die iptables zu konfigurieren.

    Du kannst mal mit "iptables --list --numeric" anzeigen lassen, was iptables davon mitbekommen hat.

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Okay, der Output von dort erklärt das Verhalten...


    Anscheinend ergänzt mailcow standarmäßig die entsprechenden Einträge, um den öffentlich ankommenden Traffic ins private Netzwerk von mailcow weiterzuleiten. Hätte jetzt nicht damit gererchnet, dass da schon alles einmalig konfiguriert gewesen ist.

  • Hi,


    das Verhalten hat genaugenommen nichts mit Mailcow zu tun, sondern mit dem Zusammenspiel von iptables, Docker und ufw. Docker erzeugt iptables-Rules für die jeweiligen Container die vor den ufw-Rules greifen und diese damit im Grunde wirkungslos machen.


    Eine Lösung wäre es die Ports der jeweiligen Container an 127.0.0.1 zu binden. Die andere ist es Docker abzugewöhnen automatisch die iptables-Rules zu erzeugen. Dann musst du ufw aber auch beibringen das mindestens die Docker-Container untereinander kommunizieren dürfen. Wird z.B. hier beschrieben:

    https://blog.marvin-menzerath.…icht-automatisch-oeffnen/

    Wieder eine andere Lösung wäre es natürlich auf ufw zu verzichten.


    Hilft hoffentlich etwas. Wird wahrscheinlich schon jeder irgendwann drüber gestolpert sein der Docker und ufw einsetzt. ufw ist halt einfach eine Lösung für den "normalen Durchschnittsanwender".