Als Firewall-Administrator kennen Sie vielleicht das Gefühl, wenn Sie Ihren Regelsatz um eine Filterregel erweitert haben und im Nachgang feststellen, dass diese gar nicht den angedachten Zweck erfüllt. IPTables als Paketfilter ist auf Linux-Systemen heute noch immer das Mittel der Wahl. Automatisch hinzugefügte Regeln – etwa solche, wie sie der Docker-Daemon erstellt – führen dabei aber immer wieder zu Nebeneffekten auf manuell oder halbautomatisiert angelegte Regelsätze. Das größere Sicherheitsproblem entsteht jedoch, wenn eine Regel eingehende Pakete filtern soll, diese aber beim Eingang von Paketen für Docker-Container gar nicht berücksichtigt wird.
Die grundsätzliche Organisation von Filterregeln in IPTables ist schnell erklärt. Zunächst gibt es die drei bekanntesten Tabellen: "filter", "mangle" und "nat". Dabei werden in der Filtertabelle maßgeblich solche Regeln angelegt, die sprichwörtlich einen Paketfilter ausmachen. Die Mangle-Tabelle erlaubt Ihnen insbesondere die Manipulation der Felder des IP-Headers, aber auch die Markierung
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.