Dockerのiptablesを有効にしたままSSRF対策をするには - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。 動機としてはタイトルに書いた通りSSRF対策を目的としています。 特に内部ネットワーク宛の攻撃を想定し、Dockerコンテナからの private network 宛のoutboundを禁止したい。 でもDockerホスト側ではメールGWなど一部内部NW上のサーバへのoutboundは許可する必要があるので、Dockerコンテナだけに限定したoutboundルールを設定したい・・・そんな状況に対応するにはどうするか調べてみた次第です。 結論から書くと Docker Engine 公式ドキュメントで解説されているとおり
dockerのexpose のポートをlocalhostに限定する。 - それマグで!
docker のポートのIPアドレスを限定したい。 expose したポートを、bind するときに、よく見る例がコレ docker run -p 80:80 ... コレだと、0.0.0.0:80 にマッピングされる。グローバルアドレスにマッピングしてしまうのですよね。ちょっと先行き不安。 ローカル・ループバックに限定する docker run -p 127.0.0.1:80:80 ... IPv6の ループバックはダメみたい ::1 はダメだった。悲しい。そのうちなんとかなるかも。 takuya@ubuntu01:~/docker-test$ docker-compose up -d ERROR: The Compose file './docker-compose.yml' is invalid because: services.db.ports is invalid: Inval
Docker の iptables 設定
Docker のネットワークまわりの理解を深める一環として iptables について整理します。 全体として Iptables Tutorial がとても参考になりました。 iptables とは iptables の構成要素 Docker デーモン起動時の iptables Docker コンテナ起動時の iptables 環境: # OS $ cat /proc/version Linux version 4.14.13-1-ARCH (builduser@heftig-32336) (gcc version 7.2.1 20171224 (GCC)) #1 SMP PREEMPT Wed Jan 10 11:14:50 UTC 2018 # iptables $ iptables --version iptables v1.6.1 # Docker $ docker version
ubuntu ファイアーウォール :Docker が UFW 管理外のポートを開けてしまう問題 - ngzmのブログ
UFW とは ファイアーウォールを設定・管理するツールで、Ubuntuでは標準的に利用します。このツールを使用すれば、iptables を使うよりはるかに簡単にファイアーウォールを構築できます。 UFW - Community Help Wiki Docker はご存知ですね。 Docker - Build, Ship, and Run Any App, Anywhere 遭遇した問題 今回 UFW と docker の両方を使用するサーバで、UFW で許可していないポート番号がいつのまにか空いてしまった問題に遭遇しました。 次のような感じです。 ubuntu xenial サーバに対し、UFW で 22番と443番だけアクセス可能、その他は遮断というファイアーウォールをセットアップ 同サーバに Docker 入れて、nginx コンテナ起動、この時 “-p 80:80” オプションを付与
Dockerでマストドンやってたら、遮断したはずのポートが丸見えだった件 | Divide et impera
みんなマストドンをやっているだろうか? 僕はやっている。 インスタンス管理をやっている。 こんなふうに運用していた conoHaのVPS CentOS7.3 Dockerで運用している ちなみにDockerは今回が初めて本格的に触った。 マストドンは裏側では3000ポートと4000ポートで待ち受けている。 3000の方は普通のWEB 4000の方はAPIを担当している。 HTTPサーバーであるnginxが、httpの80とhttpsの443で受け取ったら、 それぞれ3000と4000に送りつけている リバースプロキシという技だ。 通常、公開用のhttpとhttpsのポートだけ開けておく。 もちろん僕もそのようにしていた。 CentOS7以降はiptablesではなくfirewalldというファイアウォールのソフトウェアでポートの開け閉めを管理している。 firewalldで、許可するポート
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
