web-dev-qa-db-ja.com

dockerがiptablesとopenvpnで自分自身を公開しないようにする方法

目標は次のとおりです。

  1. vPNクライアントがインターネットにアクセスできるようにする
  2. dockerサブネットにアクセスできる(例:178.18.0.0/24)
  3. iptablesを変更することにより、Dockerが自身を自動公開しないようにします
  4. dockerポートを手動でインターネットに公開できるようにする

here 、2の例の構成で1を解決し、サブネットをserver.confにプッシュしました。

質問:eth0とtun0でインターネット接続を切断せずに、dockerがINPUT DROP iptableチェーンを自動的にバイパスしてポートを公開しないようにするにはどうすればよいですか?

試行:

  • 文書化されたDockerの方法を試しました: https://docs.docker.com/network/iptables/ しかし適用するとすぐにすべてのインターネットがドロップされますVPNクライアントの接続-Dockerのサブネットには問題なくアクセスできますが、インターネットにはアクセスできません。 DROPをACCEPTに逆にすると、その逆になります。インターネットは機能しますが、Dockerサブネットは機能せず、公開されます。
  • また、ここで説明するようにiptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTを追加しようとしました: https://riptutorial.com/docker/topic/9201/iptables-with-docker -悲しいことに何も変更されませんでした

私のdocker関連のiptablesエントリは、現在次のようになっています。

iptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I DOCKER-USER -i eth0 ! -s 10.0.0.0/24 -j DROP

私のネットワークは次のようになります。

eth0 - publicly facing
tun0 - vpn on 10.0.0.0/24
docker - 172.18.0.0/24

現在の構成全体:

#!/bin/bash

# A Sample OpenVPN-aware firewall.

# eth0 is connected to the internet.
# eth1 is connected to a private subnet.

# Change this subnet to correspond to your private
# ethernet subnet.  Home will use 10.0.1.0/24 and
# Office will use 10.0.0.0/24.
PRIVATE=10.0.0.0/24

# Loopback address
LOOP=127.0.0.1

# Delete old iptables rules
# and temporarily block all traffic.
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F

# Set default policies
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Prevent external packets from using loopback addr
iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP

# Anything coming from the Internet should have a real Internet address
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP

# Block outgoing NetBios (if you have windows machines running
# on the private subnet).  This will not affect any NetBios
# traffic that flows over the VPN tunnel, but it will stop
# local windows machines from broadcasting themselves to
# the internet.
iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP

# Check source address validity on packets going out to internet
iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP

# Allow local loopback
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT

# Allow incoming pings (can be disabled)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Allow services such as www and ssh (can be disabled)
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# Allow incoming OpenVPN packets
# Duplicate the line below for each
# OpenVPN tunnel, changing --dport n
# to match the OpenVPN UDP port.
#
# In OpenVPN, the port number is
# controlled by the --port n option.
# If you put this option in the config
# file, you can remove the leading '--'
#
# If you taking the stateful firewall
# approach (see the OpenVPN HOWTO),
# then comment out the line below.

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

# Allow packets from TUN/TAP devices.
# When OpenVPN is run in a secure mode,
# it will authenticate packets prior
# to their arriving on a tun or tap
# interface.  Therefore, it is not
# necessary to add any filters here,
# unless you want to restrict the
# type of packets which can flow over
# the tunnel.

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

# Keep state of connections from local machine and private subnets
iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Docker allow only VPN by default
    iptables -I DOCKER-USER -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -I DOCKER-USER -i eth0 ! -s 10.0.0.0/24 -j DROP

# Masquerade local subnet
iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE

ありがとう!

1
stackbox

解決策は、代わりにdockerをufwの背後に適切に配置することでした。スタックオーバーフローに大きな記事が投稿されました: https://stackoverflow.com/a/58098930/11821602 これは次のソースから発生しました: https ://github.com/moby/moby/issues/4737#issuecomment-419705925

/etc/ufw/after.rulesの最後に以下を追加します(eth0を外部向けインターフェースに置き換えます)。

# Put Docker behind UFW
*filter
:DOCKER-USER - [0:0]
:ufw-user-input - [0:0]

-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i eth0 -j ufw-user-input
-A DOCKER-USER -i eth0 -j DROP
COMMIT

そして、すべてを元に戻します。

  • /etc/docker/daemon.jsonから「iptables」:「false」を削除します
  • / etc/default/ufwのDEFAULT_FORWARD_POLICY = "DROP"に戻します
  • /etc/ufw/before.rulesへのDocker関連の変更をすべて削除します

再起動後にすべてが正常に起動することを必ずテストしてください。

2
stackbox