docker - Firewalld 和容器发布的端口

Question

在我的 RHEL8 主机的 KVM guest 上，其 KVM guest 运行 CentOS7，我希望 firewalld 默认阻止外部访问由运行 nginx 的 Docker 容器发布的临时端口。令我惊讶的是，访问并未被阻止。

同样，主机 (myhost) 正在运行 RHEL8，它有一个运行 CentOS7 的 KVM guest (myguest)。

myguest 上的 firewalld 配置是标准的，没什么特别的:

[root@myguest ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

以下是属于 firewalld 公共(public)区域的 eth0 和 eth1 接口(interface):

[root@myguest ~]# ip a s dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:96:9c:fc brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.111/24 brd 192.168.100.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe96:9cfc/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
[root@myguest ~]# ip a s dev eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:66:6c:a1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.111/24 brd 192.168.1.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe66:6ca1/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

在 myguest 上，我正在运行 Docker，nginx 容器将其端口 80 发布到临时端口:

[me@myguest ~]$ docker container ps
CONTAINER ID   IMAGE     COMMAND                  CREATED             STATUS             PORTS                   NAMES
06471204f091   nginx     "/docker-entrypoint.…"   About an hour ago   Up About an hour   0.0.0.0:49154->80/tcp   focused_robinson

请注意，在之前的 firewall-cmd 输出中，我不允许通过此临时 TCP 端口 49154(或与此相关的任何其他临时端口)进行访问。所以，我希望除非我这样做，否则外部对 nginx 的访问将被阻止。但令我惊讶的是，我能够从家庭网络中运行 Windows 的另一台主机访问它:

C:\Users\me>curl http://myguest:49154
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
.
.etc etc

如果容器将其容器端口发布到主机上的临时端口(在本例中为 myguest)，主机防火墙实用程序是否应该像保护标准端口一样保护对该端口的访问？我错过了什么吗？

但我也注意到实际上 nginx 容器正在监听 TCP6 套接字:

[root@myguest ~]# netstat -tlpan | grep 49154
tcp6       0      0 :::49154                :::*                    LISTEN      23231/docker-proxy

看来，firewalld 可能不会阻止 tcp6 套接字？我很困惑。

这显然不是生产问题，也不是失眠的问题。我只是想弄明白它。谢谢。

Answer 1

多年来，docker 和 firewalld 之间的集成发生了变化，但根据您的操作系统版本和 CLI 输出，我认为您可以通过设置 AllowZoneDrifting=no 来获得您期望的行为 /etc/firewalld/firewalld.conf 1在 RHEL-8 主机上。

由于zone drifting ，在带有 --set-target=default 的区域(例如 public 区域)接收到的数据包可能会漂移到带有 --set-target 的区域=accept(例如 trusted 区域)。这意味着在区域 public 中收到的 FORWARDed 数据包将被转发到区域 trusted。如果您的 docker 容器使用的是真正的桥接接口(interface)，则此问题可能适用于您的设置。 Docker 默认为 SNAT，所以通常这个问题是隐藏的。

较新的防火墙 2版本已完全消除此行为，因为正如您所发现的那样，它既是意外的又是安全问题。