Sorry, aber jetzt versteht ich gar nix mehr. Ich hab doch nichts angegeben
Beiträge von Interessent
-
-
Danke.
Also wenn ich es richtig verstanden habe dann bei Container xyz in Portainer statt z.B. 8000:8000 dann - : 8000 eintragen...
Muss ich mal probieren.
-
Danke, stehe irgendwie noch auf dem Schlauch, wie es dann richtig aussehen soll
-
Danke für Deine ausführliche Antwort. Genau so will ich es auch machen.
Nur kurz zu meinem Verständnis:
Wenn jetzt z.B. bei Portainer standardmäßig 9000:9000 eingestellt ist, dann wäre Port 9000 exposed. Wenn ich es jetzt auf auf z.B. 9000:9005 ändere wäre und dann NPM wie von Dir beschrieben einrichte, wäre nicht mehr exposed. Hab ich das so richtig verstanden?
Kurz Externer Port "ungleich" interner Port => Gut:) ?
-
Das bedeutet Ihr macht folgendes wenn z.B. ein Container auf 8000:8000 eingerichtet werden sollte:
Statt 8000:8000 => 127.0.0.0:8000:8000
Hab ich das so richtig verstanden?
Damit die Container im gleichen Netz wie der NPM sind, kann ich doch in Portainer jedem Container das NPM Netzwerk hinzufügen.
Lasse den Container dann zusätzlich das bridge Netz oder lösch ich das?
-
Also hab die von Dir angesprochene Regel gelöscht. Dann war Ruhe.
Erst wenn ich es mit ufw-docker freigebe funktioniert es wie es soll.
Rein aus Interesse, da ich evtl. von UFW weg will zu iptables: Gibt es irgendwo ein Standard iptables Regelwerk, was sicher ist, welches man hernehmen kann und dann seine benötigten Regeln ergänzen kann?
Ich hab mal im www gesucht, da gibt es zig Vorlagen, aber keine die auf Standard basiert und die man erweitern kann. Irgendwas individuelles ist da immer schon drin
-
Danke fürs prüfen. Das ist eine gute Frage. Hatte fast vermutet, dass es diese Regel ist.
Ich vermute, die hat Wireguard geschrieben, und ufw-docker macht zwar alles dicht, aber bereits bestehndes bleibt eben bestehen.
Die mach ich mal raus bzw. installiere ich das ufw-docker Tool mal bevor ich Wireguard installiere. Mal schauen, ob sich dann was ändert.
-
UNd Teil 2:
Code
Alles anzeigenChain ufw-skip-to-policy-input (7 references) target prot opt source destination DROP all -- anywhere anywhere Chain ufw-skip-to-policy-output (0 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain ufw-track-forward (1 references) target prot opt source destination Chain ufw-track-input (1 references) target prot opt source destination Chain ufw-track-output (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere ctstate NEW ACCEPT udp -- anywhere anywhere ctstate NEW Chain ufw-user-forward (2 references) target prot opt source destination Chain ufw-user-input (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255 ufw-user-limit tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW recent: UPDATE seconds: 30 hit_count: 6 name: DEFAULT side: source mask: 255.255.255.255 ufw-user-limit-accept tcp -- anywhere anywhere tcp dpt:ssh udp -- anywhere anywhere udp dpt:22 ctstate NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255 ufw-user-limit udp -- anywhere anywhere udp dpt:22 ctstate NEW recent: UPDATE seconds: 30 hit_count: 6 name: DEFAULT side: source mask: 255.255.255.255 ufw-user-limit-accept udp -- anywhere anywhere udp dpt:22 Chain ufw-user-limit (2 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] " REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain ufw-user-limit-accept (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere Chain ufw-user-logging-forward (0 references) target prot opt source destination Chain ufw-user-logging-input (0 references) target prot opt source destination Chain ufw-user-logging-output (0 references) target prot opt source destination Chain ufw-user-output (1 references) target prot opt source destination -
So...hier mal die Infos:
Code
Alles anzeigeniptables -L Chain INPUT (policy DROP) target prot opt source destination ufw-before-logging-input all -- anywhere anywhere ufw-before-input all -- anywhere anywhere ufw-after-input all -- anywhere anywhere ufw-after-logging-input all -- anywhere anywhere ufw-reject-input all -- anywhere anywhere ufw-track-input all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination DOCKER-USER all -- anywhere anywhere DOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED DOCKER all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED DOCKER all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ufw-before-logging-forward all -- anywhere anywhere ufw-before-forward all -- anywhere anywhere ufw-after-forward all -- anywhere anywhere ufw-after-logging-forward all -- anywhere anywhere ufw-reject-forward all -- anywhere anywhere ufw-track-forward all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ufw-before-logging-output all -- anywhere anywhere ufw-before-output all -- anywhere anywhere ufw-after-output all -- anywhere anywhere ufw-after-logging-output all -- anywhere anywhere ufw-reject-output all -- anywhere anywhere ufw-track-output all -- anywhere anywhere Chain DOCKER (2 references) target prot opt source destination ACCEPT udp -- anywhere 172.18.0.2 udp dpt:51820 Chain DOCKER-ISOLATION-STAGE-1 (1 references) target prot opt source destination DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere RETURN all -- anywhere anywhere Chain DOCKER-ISOLATION-STAGE-2 (2 references) target prot opt source destination DROP all -- anywhere anywhere DROP all -- anywhere anywhere RETURN all -- anywhere anywhere Chain DOCKER-USER (1 references) target prot opt source destination ufw-user-forward all -- anywhere anywhere RETURN all -- 10.0.0.0/8 anywhere RETURN all -- 172.16.0.0/12 anywhere RETURN all -- 192.168.0.0/16 anywhere RETURN udp -- anywhere anywhere udp spt:domain dpts:1024:65535 ufw-docker-logging-deny tcp -- anywhere 192.168.0.0/16 tcp flags:FIN,SYN,RST,ACK/SYN ufw-docker-logging-deny tcp -- anywhere 10.0.0.0/8 tcp flags:FIN,SYN,RST,ACK/SYN ufw-docker-logging-deny tcp -- anywhere 172.16.0.0/12 tcp flags:FIN,SYN,RST,ACK/SYN ufw-docker-logging-deny udp -- anywhere 192.168.0.0/16 udp dpts:0:32767 ufw-docker-logging-deny udp -- anywhere 10.0.0.0/8 udp dpts:0:32767 ufw-docker-logging-deny udp -- anywhere 172.16.0.0/12 udp dpts:0:32767 RETURN all -- anywhere anywhere Chain ufw-after-forward (1 references) target prot opt source destination Chain ufw-after-input (1 references) target prot opt source destination ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST Chain ufw-after-logging-forward (1 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] " Chain ufw-after-logging-input (1 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] " Chain ufw-after-logging-output (1 references) target prot opt source destination Chain ufw-after-output (1 references) target prot opt source destination Chain ufw-before-forward (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-problem ACCEPT icmp -- anywhere anywhere icmp echo-request ufw-user-forward all -- anywhere anywhere Chain ufw-before-input (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ufw-logging-deny all -- anywhere anywhere ctstate INVALID DROP all -- anywhere anywhere ctstate INVALID ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-problem ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc ufw-not-local all -- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900 ufw-user-input all -- anywhere anywhere Chain ufw-before-logging-forward (1 references) target prot opt source destination Chain ufw-before-logging-input (1 references) target prot opt source destination Chain ufw-before-logging-output (1 references) target prot opt source destination Chain ufw-before-output (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ufw-user-output all -- anywhere anywhere Chain ufw-docker-logging-deny (6 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW DOCKER BLOCK] " DROP all -- anywhere anywhere Chain ufw-logging-allow (0 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] " Chain ufw-logging-deny (2 references) target prot opt source destination RETURN all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] " Chain ufw-not-local (1 references) target prot opt source destination RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10 DROP all -- anywhere anywhere Chain ufw-reject-forward (1 references) target prot opt source destination Chain ufw-reject-input (1 references) target prot opt source destination Chain ufw-reject-output (1 references) target prot opt source destination Chain ufw-skip-to-policy-forward (0 references) target prot opt source destination DROP all -- anywhere anywhere -
Muss ich heute Abend suchen...:)
-
iptables - L?
-
So:
Codeufw default deny incoming ufw default allow outgoing ufw allow xyz/tcp comment 'SSH' ufw allow http ufw allow https ufw limit xyz -
Naja wenn ich alles verbiete und bisher nur paar TCP aufgemacht habe..?
-
Das sollte es aber gerade nicht tun, weil das Tools UFW-Docker gerade das verhindern sollte:
https://github.com/chaifeng/ufw-docker
Andere Docker Container sind solange nicht er riechbar, bis ich sie mit UFW Docker freigebe
-
Hallo,
ich habe Wireguard unter Docker installiert. Läuft hervorragend. Mir ist aber bei der Neuninstallation des Servers etwas Seltsames aufgefallen:
Um die Lücken in der UFW zu schließen, die Docker aufmacht, habe ich das Tool UFW-Docker installiert. Das behebt das und funktioniert mit anderen Containern (und TCP Ports) einwandfrei.
Der Wireguard Dockercontainer läuft auf 51820:51820, das sind ja UDP Ports. Weder in der UFW noch mit UFW-Docker habe ich den Port 51820 freigegeben und dennoch kann ich vom Smartphone, Laptop etc über Wireguard ins Internet und bekomme die IP-Adresse, die der Server mit Docker hat.
Wie kann das denn sein?
Hat zufällig jemand eine Idee?
-
Server ist gekündigt.
-
Siehe oben
-
Ich hab Wireguard auch auf nem VPS 200 G8 laufen. Hab mich mal aus dem Firmennetzwerk verbunden => 60 Mbytes/s und mehr
-
Da liegen aber Lichtjahre zwischen meinen und deinen Werten. Mit den Werten wäre ich für die Kiste zufrieden
-
In dem Link.
Ich weiß was relevant ist und was ich durchsetzen könnte.
Ich will darüber aber keine Diskussion anzetteln.
Wie gesagt, keine Lust dagegen vorzugehen.
Ich kann ihn ja kündigen oder verschenken:)
