Shorewall+Docker: Dois Sabores Ótimos Que Ficam Ótimos Juntos

codinghorror · Novembro 24, 2015, 3:22am

As has been mentioned previously, we lurve us some Docker here at Discourse. We also lurve us some security, and I’ve recently been replacing our “artisinally handcrafted iptables firewall rules” with a Shorewall-managed configuration, which plays better with Puppet. Unfortunately, as it stands, like my twin three year olds, they don’t always play well. The…

This topic is for comments on the original blog entry at: http://blog.discourse.org/2015/11/shorewalldocker-two-great-tastes-that-taste-great-together/

kpfleming · Novembro 25, 2015, 6:44pm

Big fan of Shorewall, been using it for a looong time.

John_Davidson · Abril 21, 2016, 1:45pm

Docker has changed their iptables implementation so that the rules captured and replaced are no longer complete.

As a suggestion the revisions posted below should correct the issue and be more tolerant of future changes

/etc/shorewall/init and /etc/shorewall/stop should become

if iptables -t nat -L DOCKER >/dev/null 2>&1; then
    echo '*nat' > /etc/shorewall/docker_rules
    iptables -t nat -S | grep -i docker >> /etc/shorewall/docker_rules
    echo 'COMMIT' >> /etc/shorewall/docker_rules

    echo '*filter' >> /etc/shorewall/docker_rules
    iptables -t filter -S | grep -i docker >> /etc/shorewall/docker_rules
    echo 'COMMIT' >> /etc/shorewall/docker_rules
fi

and /etc/shorewall/start should be

if [ -f /etc/shorewall/docker_rules ]; then
    iptables-restore -n < /etc/shorewall/docker_rules

    rm -f /etc/shorewall/docker_rules
fi

jdeyton · Dezembro 19, 2020, 7:47am

Peço desculpas pela ressurreição do tópico, mas como isso foi o que fez meus próprios serviços de swarm funcionarem com o Shorewall, talvez outras pessoas também considerem essas anotações adicionais úteis.

Os scripts acima podem ou não funcionar conforme o esperado para suas necessidades, e isso ocorre porque, ao executar iptables -S, ele retorna as regras em formato de anexação. Se suas regras do Shorewall forem bastante agressivas, como as minhas, uma simples anexação provavelmente resultará em um DROP muito antes de chegar a qualquer cadeia iptables específica do Docker.

Aqui estão minhas modificações para prepending as regras em vez disso:

Aqui estão /etc/shorewall/{init,stop}:

rules=/etc/shorewall/.docker_rules
if iptables -t nat -L DOCKER >/dev/null 2>&1; then
    echo '*nat' > $rules
    iptables -t nat -S | grep -i docker > $rules.nat
    grep '^-N' $rules.nat >> $rules
    tac $rules.nat | sed -n 's/^-A \([^ ]\+\) /-I \1 1 /p' >> $rules
    rm -f $rules.nat
    echo 'COMMIT' >> $rules

    echo '*filter' >> $rules
    iptables -t filter -S | grep -i docker > $rules.filter
    grep '^-N' $rules.filter >> $rules
    tac $rules.filter | sed -n 's/^-A \([^ ]\+\) /-I \1 1 /p' >> $rules
    rm -f $rules.filter
    echo 'COMMIT' >> $rules
fi

E aqui está /etc/shorewall/start:

rules=/etc/shorewall/.docker_rules
if [ -f $rules ]; then
    iptables-restore -n < $rules
    rm -f $rules
fi

Tópico		Respostas	Visualizações
Discourse failing to start due to docker/iptables issue Self-hosting docker	1	70	5 de Julho de 2024
Nftables rules for hardening Discourse installation Self-hosting	4	2615	12 de Março de 2026
Centos 7 - Docker and FirewallD Self-hosting docker , email	8	8990	4 de Agosto de 2021
Docker 1.5.0 has issues with iptables Support	12	4376	20 de Fevereiro de 2015
How to use `iptables` inside Discourse docker container Self-hosting hosting	3	11106	17 de Dezembro de 2019

Shorewall+Docker: Dois Sabores Ótimos Que Ficam Ótimos Juntos

Tópicos relacionados