Kann der Internetzugriff auf Docker und Container beschränkt werden?
Kann ich mein Hostsystem, wo Docker drauf läuft, das Internet abschalten, so das aber Docker noch Vollzugriff drauf hat. Dann haben meine Container Internet, aber mein Hostsystem ist geschützt.
Frage einmal, ob es technisch möglich ist und wenn ja, ist es sinnvoll?
2 Antworten
Frage einmal, ob es technisch möglich ist
Aus meiner Sicht: ja. Docker installiert Dir ein Interface namens docker0. Das hat eine IP-Adresse, bei mir ist es 172.17.0.1/16
Darauf aufbauend kannst Du Firewall-Regeln formulieren.
und wenn ja, ist es sinnvoll?
Das hängt davon ab, was Du erreichen möchtest. Wenn der Host keinen Zugriff auf das Internet hat, kannst Du z. B. auch keine Updates mehr machen.
aber mein Hostsystem ist geschützt.
Das erreichst Du weniger dadurch, dass das System keinen Internet-Zugriff hat, sondern eher indem Du dafür sorgst, dass auf das Hostsystem kein Zugriff aus dem Internet möglich ist.
Klar geht das, du musst einfach nur irgendwie Docker traffic durch lassen können.
Schau dir nftables an.
Sinnvoll ist es eher weniger, wenn primär Docker container erreichbar sind würde ein Angreifer ja erst mal aus den Docker Containern ausbrechen müssen - in denen er Internet hat, und könnte danach vermutlich entweder die Firewall deaktivieren oder auch einfach über einen Container Internet Zugang haben. Würde vermutlich höchstens irgendwelche automatisierten Angriffe einschränken.
Trotzdem wird das teilweise gemacht.
So was wie DNS muss man ja in der Regel auch sowieso irgendwie zumindest teilweise durchlassen.