Docker und IPTables

Geregelte Container-Kommunikation

von Matthias Wübbeling

Docker ermöglicht die Konfiguration virtueller Netzwerke und verwendet unter Linux seinerseits ausgiebig IPTables zur Konfiguration der Netzwerkkommunikation zwischen den Containern, dem Hostsystem und entfernten Computern. Zur Absicherung laufender Container genügt es jedoch nicht, nur die INPUT-Chain des Hosts für die Filterung des eingehenden Datenverkehrs zu betrachten. Der Security-Tipp in diesem Monat zeigt Möglichkeiten auf, die IPTables-Konfiguration in Einklang mit Docker zu bringen.

Aus IT-Administrator 02/2021

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet ... (mehr)

Als Firewall-Administrator kennen Sie vielleicht das Gefühl, wenn Sie Ihren Regelsatz um eine Filterregel erweitert haben und im Nachgang feststellen, dass diese gar nicht den angedachten Zweck erfüllt. IPTables als Paketfilter ist auf Linux-Systemen heute noch immer das Mittel der Wahl. Automatisch hinzugefügte Regeln – etwa solche, wie sie der Docker-Daemon erstellt – führen dabei aber immer wieder zu Nebeneffekten auf manuell oder halbautomatisiert angelegte Regelsätze. Das größere Sicherheitsproblem entsteht jedoch, wenn eine Regel eingehende Pakete filtern soll, diese aber beim Eingang von Paketen für Docker-Container gar nicht berücksichtigt wird.

Tabellen und Ketten

Die grundsätzliche Organisation von Filterregeln in IPTables ist schnell erklärt. Zunächst gibt es die drei bekanntesten Tabellen: "filter", "mangle" und "nat". Dabei werden in der Filtertabelle maßgeblich solche Regeln angelegt, die sprichwörtlich einen Paketfilter ausmachen. Die Mangle-Tabelle erlaubt Ihnen insbesondere die Manipulation der Felder des IP-Headers, aber auch die Markierung

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.