UFW irá limitar o Discourse também?

supermathie · Julho 4, 2022, 5:05pm

Esta é, na verdade, uma pergunta muito boa e uma que me surpreende que ninguém mais ainda tenha feito. A resposta é complicada, mas até agora as respostas sobre este tópico foram, infelizmente, de tom desdenhoso sem responder à pergunta.

Não é que o Discourse esteja contornando o ufw, mas sim que o docker contorna o ufw adicionando regras que fazem com que as portas expostas dos contêineres docker funcionem apesar da presença do ufw.

O que está acontecendo?

Os pacotes de entrada destinados a um contêiner atingem a tabela FORWARD, não a tabela INPUT como se poderia esperar.

Instalação pré-docker

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ufw-before-logging-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-before-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-after-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-after-logging-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-reject-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-track-forward  all  --  any    any     anywhere             anywhere

Pós-instalação do docker

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    8   416 DOCKER-USER  all  --  any    any     anywhere             anywhere            
    8   416 DOCKER-ISOLATION-STAGE-1  all  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    docker0  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    4   256 DOCKER     all  --  any    docker0  anywhere             anywhere            
    4   160 ACCEPT     all  --  docker0 !docker0  anywhere             anywhere            
    0     0 ACCEPT     all  --  docker0 docker0  anywhere             anywhere            
    0     0 ufw-before-logging-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-before-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-after-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-after-logging-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-reject-forward  all  --  any    any     anywhere             anywhere            
    0     0 ufw-track-forward  all  --  any    any     anywhere             anywhere

A razão pela qual os pacotes atingem a tabela forward é devido às regras que o docker adiciona à tabela nat:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  210 12734 DOCKER     all  --  any    any     anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  docker0 any     anywhere             anywhere            
    0     0 DNAT       tcp  --  !docker0 any     anywhere             anywhere             tcp dpt:https to:172.17.0.2:443
  107  6848 DNAT       tcp  --  !docker0 any     anywhere             anywhere             tcp dpt:http to:172.17.0.2:80

O nat/PREROUTING é processado antes da decisão ser tomada sobre se os pacotes devem ser enviados através de INPUT ou FORWARD.

Em última análise, o problema é que existem dois serviços no sistema modificando as regras do firewall. O ufw não sabe de nada disso, então ele só pode relatar o que ele configurou.

Uma solução

Para isso, é reconfigurar o firewall para que o tráfego destinado ao docker também passe pelas cadeias do ufw:

Eu uso a seguinte adaptação ligeira do trabalho deles, colocada em vigor antes de habilitar o ufw:

# roubado de https://github.com/chaifeng/ufw-docker - parece sensato
# adicionar o forward para ufw-user-input permite conexões para
# portas encaminhadas que explicitamente abrimos
cat <<EOUFW >> /etc/ufw/after.rules
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-user-forward
-A DOCKER-USER -j ufw-user-input

-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 172.16.0.0/12
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 192.168.0.0/16

-A DOCKER-USER -j RETURN
COMMIT
# END UFW AND DOCKER
EOUFW

Tópico		Respostas	Visualizações
Configure a firewall for Discourse Self-Hosting configuring , how-to	5	217813	25 de Março de 2025
I can't start a Discourse Installation	42	1567	13 de Dezembro de 2023
Installing Discourse With Plesk Onyx (Ubuntu 14.04) Installation unsupported-install	47	12564	10 de Outubro de 2019
Nftables rules for hardening Discourse installation Installation	3	2398	4 de Outubro de 2022
Fresh install returning 502 Bad Gateway Installation unsupported-install	28	711	11 de Abril de 2024

UFW irá limitar o Discourse também?

O que está acontecendo?

Instalação pré-docker

Pós-instalação do docker

Uma solução

Tópicos relacionados