今天踩了一个 Docker 和 UFW 的安全坑，分享一下恐怖经历

› Boot2docker

This topic created in 2901 days ago, the information mentioned may be changed or developed.

在一台公网服务器上通过 Docker 安装某个网络服务用于测试，在 UFW 里添加了规则只允许内网访问。

但是没想到，docker -p 的端口映射的实现，会忽略系统的 UFW 规则，于是新安装的那个服务就对公网敞开了。

具体说明可参考这篇文章：

https://www.techrepublic.com/article/how-to-fix-the-docker-and-ufw-security-flaw/

ufw

Docker

公网

规则

13 replies • 2024-12-30 23:52:01 +08:00

defunct9

Jun 28, 2018 via iPhone

这不是坑，当初部署的时候就该考虑到这一点

chinvo

Jun 28, 2018

没记错 UFW 是单独的规则表，不是直接在 iptables 的 INCOMING 和 OUTGOING 上做规则的。

kslr

Jun 28, 2018

记录
How to fix this
Fortunately, there's a way to fix this. Go back to the terminal on your Docker server and issue the command sudo nano /etc/default/docker and add the following line:

DOCKER_OPTS="--iptables=false"

aoaoho

Jun 28, 2018

https://askubuntu.com/a/652572

Shura

Jun 28, 2018

这是一个 feature

rrfeng

Jul 3, 2018 via Android

一直对 docker 使用 iptables 做端口转发怀有极大的抵触情绪。

根本不应该出现这个功能。

Cbdy

Jul 3, 2018 via Android

-p 的时候记得前面加 ip

yanaraika

Jul 3, 2018

这是一个 feature，Docker 新版添加了 DOCKER-USER chain 可以自己在里面添加规则

mritd

Jul 3, 2018 via iPhone

一直就是这样的🙃

Sylv

Dec 2, 2018

今天遇到同样的坑，但不同的是添加 DOCKER_OPTS="--iptables=false" 到 /etc/default/docker 文件的修复方法对于 Ubuntu 并不管用，这是因为用 systemd 来启动 docker 时并不会读取 /etc/default/docker 文件，正确的解决办法是使用 /etc/docker/daemon.json 文件：
{
"iptables": false
}

https://github.com/moby/moby/issues/9889

gamesover

Feb 18, 2020

@Sylv 用了这个方法的确让 ufw 起了原先的作用

但是外来流量进入 docker 的 ip 被改了，比如原先从 1.2.3.4 的外来公有 ip，访问 docker 里的服务，但是 docker 的服务看到的 ip 是一个内部 ip，比如 172.8.1.1 之类，不是原来的公有 ip，不知道怎么回事

Sylv

Feb 19, 2020

@gamesover 这我就不清楚了，不过似乎我用的时候看到的还是公网 IP，可能是容器的网络配置问题？

notgoda

Dec 30, 2024 via iPhone

@Cbdy @Sylv 请问 docker -p 的时候前面加 ip 跟配置文件里面加这一行代码的区别是什么？ docker -p 的时候前面加 ip 是要加內网的 IP 还是公网的 IP 呢？
{
" iptables": false
}
@Cbdy