3

在我的 RHEL8 主机的 KVM 来宾上,其 KVM 来宾正在运行 CentOS7,我希望 firewalld 默认阻止外部访问由运行 nginx 的 Docker 容器发布的临时端口。令我惊讶的是,访问没有被阻止。

同样,主机 (myhost) 正在运行 RHEL8,并且它有一个运行 CentOS7 的 KVM 来宾 (myguest)。

myguest 上的 firewalld 配置是标准的,没什么花哨的:

[root@myguest ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

以下是防火墙公共区域下的 eth0 和 eth1 接口:

[root@myguest ~]# ip a s dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:96:9c:fc brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.111/24 brd 192.168.100.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe96:9cfc/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
[root@myguest ~]# ip a s dev eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:66:6c:a1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.111/24 brd 192.168.1.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe66:6ca1/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

在 myguest 我正在运行 Docker,并且 nginx 容器将其端口 80 发布到临时端口:

[me@myguest ~]$ docker container ps
CONTAINER ID   IMAGE     COMMAND                  CREATED             STATUS             PORTS                   NAMES
06471204f091   nginx     "/docker-entrypoint.…&quot;   About an hour ago   Up About an hour   0.0.0.0:49154->80/tcp   focused_robinson

请注意,在之前的 firewall-cmd 输出中,我不允许通过此临时 TCP 端口 49154(或任何其他临时端口)进行访问。所以,我期待除非我这样做,否则对 nginx 的外部访问将被阻止。但令我惊讶的是,在家庭网络中运行 Windows 的另一台主机上,我能够访问它:

C:\Users\me>curl http://myguest:49154
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
.
.etc etc

如果容器将其容器端口发布到主机上的临时端口(在本例中为 myguest),主机防火墙实用程序不应该以与标准端口相同的方式保护对该端口的访问吗?我错过了什么吗?

但我也注意到实际上 nginx 容器正在侦听 TCP6 套接字:

[root@myguest ~]# netstat -tlpan | grep 49154
tcp6       0      0 :::49154                :::*                    LISTEN      23231/docker-proxy

那么,firewalld 似乎没有阻止 tcp6 套接字?我很困惑。

这显然不是生产问题,也不是什么可以失眠的问题。我只是想弄明白它。谢谢。

4

1 回答 1

0

多年来,docker 和 firewalld 之间的集成发生了变化,但根据您的操作系统版本和 CLI 输出,我认为您可以通过在 RHEL-8 主机上将其设置AllowZoneDrifting=no/etc/firewalld/firewalld.conf 1来获得您期望的行为。

由于区域漂移--set-target=default,在带有(例如区域)的区域中接收到的数据包可能public会漂移到带有--set-target=accept(例如trusted区域)的区域。这意味着在 zone 中收到的 FORWARDed 数据包public将被转发到 zone trusted。如果您的 docker 容器使用的是真正的桥接接口,那么此问题可能适用于您的设置。Docker 默认使用 SNAT,所以通常这个问题是隐藏的。

较新的 firewalld 2版本已完全删除此行为,因为您发现它既是意外的,也是安全问题。

于 2021-10-25T15:35:52.633 回答