Toon posts:

[Debian] Docker media server beveiligen (ufw/iptables?)

Pagina: 1
Acties:

Vraag


  • Vaenir
  • Registratie: Februari 2018
  • Laatst online: 08:25
Ik heb thuis een mediaserver in de meterkast staan waarop Debian 9 server draait met diverse Docker containers. Enkele voorbeelden zijn: Plex, Radarr, Sonarr, Organizr v2. Mijn doel is eigenlijk om er een Docker image van nextcloud bij te gooien maar ik kom er totaal niet uit hoe ik dit moet beveiligen naar de buitenwereld toe. Ik heb al zoveel geprobeerd en gegoogled, dat ik even de bomen door het bos niet meer zie.

Momenteel draait alles lokaal perfect en weet ik hoe ik alles naar buiten toe kan krijgen d.m.v. Nginx en een reverse proxy. Alleen het stukje beveiligen is mij niet helemaal duidelijk.

Ik heb al eens eerder geprobeerd om met ufw te werken. Echter communiceren de Docker containers niet meer met elkaar en moet ik elke poort die gebruikt wordt weer open zetten. Nu lijkt mij dit al een probleem an sich?

Mijn vraag is nu eigenlijk: Hoe laat ik de Docker containers intern met elkaar communiceren, zet ik een firewall op en laat ik alleen https (443) naar buiten communiceren?

Alle reacties


  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 01-02 21:38

CAPSLOCK2000

zie teletekst pagina 888

Ken je het verschil tussen Publish en Expose?
Met Publish geef je poorten aan die andere containers mogen gebruiken.
Met Expose geef je poorten aan die ook aan de buitenwereld getoond worden.
Ik heb al eens eerder geprobeerd om met ufw te werken. Echter communiceren de Docker containers niet meer met elkaar en moet ik elke poort die gebruikt wordt weer open zetten. Nu lijkt mij dit al een probleem an sich?
Ik zie het probleem niet, dat is toch precies de bedoeling van een firewall? Dat je alles blokkeert en alleen poorten doorlaat die jij hebt goedgekeurd.
Je kan je wel afvragen hoeveel zin het heeft om een firewall te draaien tussen containers aangezien die toch niet vrij mogen communiceren.
Je hoeft je firewall dus eigenlijk alleen op je externe netwerkinterface te draaien.

This post is warranted for the full amount you paid me for it.


  • Vaenir
  • Registratie: Februari 2018
  • Laatst online: 08:25
Dus als ik je goed begrijp dan heb ik op mijn server niks nodig maar hoef ik enkel poort 443 op mijn fritzbox open te zetten en naar mijn server te verwijzen? Dit was mijn bedoeling maar ik had mijn twijfels bij de veiligheid daarvan.

  • kunnen
  • Registratie: Februari 2004
  • Niet online
Om gepubliceerde dockerpoorten op je host te firewallen kun je gebruik maken van iptables, waar automatisch een chain DOCKER-USER aan toegevoegd wordt. Hier kun je connecties droppen e.d.


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee