14

在我的 DigitalOcean (DO) droplet 中,我安装了这个图像:Ubuntu Docker 17.12.0~ce on 16.04(可在 ** DO website > droplet> destroy> rebuild droplet** 上找到),在 ssh 中(在用户配置之后),我跑

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable
sudo ufw status verbose

并得到:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         LIMIT IN    Anywhere                  
2375/tcp                   ALLOW IN    Anywhere                  
2376/tcp                   ALLOW IN    Anywhere                  
22 (v6)                    LIMIT IN    Anywhere (v6)             
2375/tcp (v6)              ALLOW IN    Anywhere (v6)             
2376/tcp (v6)              ALLOW IN    Anywhere (v6)

如您所见,我不允许端口 80 (http) 上的任何连接。好的,为了测试防火墙是否真的有效,我在 docker 之后运行:

sudo docker run -d -p 80:80 -e ENABLE_IPV6=true -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder/nginx-proxy:alpine

但是当我转到 chrome 并输入我的 droplet IP 时,我看到了 nginx 响应(!!!)

我也为 Ubuntu 17 映像(手动安装 docker)尝试了这个,但仍然遇到同样的问题。

结论:ufw 防火墙在 Ubuntu 中根本不起作用

问题:如何配置 ufw/Ubuntu 来解决这个问题?

4

3 回答 3

24

Docker 和 UFW 不能很好地协同工作,因为它们都修改了 iptables,但有一种方法可以解决这个问题。您需要将 Docker 配置为不使用 iptables。添加

DOCKER_OPTS="--iptables=false"

并重新/etc/default/docker启动您的主机(或重新启动 Docker 守护程序和 UFW)。

这两个链接包含有关该问题的更多信息:

https://blog.viktorpetersson.com/2014/11/03/the-dangers-of-ufw-docker.html
https://www.techrepublic.com/article/how-to-fix-the-docker-and -ufw-安全缺陷/

于 2018-03-29T18:59:49.860 回答
12

这样做DOCKER_OPTS="--iptables=false"对我不起作用。

我建议在末尾添加这些行/etc/ufw/after.rules

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

这里的来源

于 2019-02-01T20:48:15.263 回答
2

替代解决方案:放弃 UFW,而是使用数字海洋控制面板(在网站上)中提供的网络防火墙。

于 2018-03-30T13:59:27.230 回答