Docker-Container -> Internet-Zugang sperren

[ADB83]

Guten Morgen.

Im Smarthome-Zeitalter möchte man so viele Geräte wie nur möglich miteinander verknüpfen . So sieht es jedenfalls bei mir aus...
Eine Sache, die mir länger je mehr missfällt ist, dass z.B. bei IOBroker viele Adapter installiert werden können, auf die man vertrauen muss, dass diese keine persönlichen Daten an fremde Server schicken. Gleiches gilt bei den Docker-Container auf der Synology. Es ist mir bekannt, dass diese ab Release 7.x nicht mehr wirklich zur Verfügung steht bzw. durch eine neue App ersetzt wird. Ich zögerte bis anhin auf die Aktualisierung auf 7.x, da momentan alles normal läuft wie es soll und ich unliebsame Überraschungen vermeiden möchte.

Jedoch nur meiner eigentlichen Frage:
Auf dem NAS laufen verschiedene Docker-Container (go2rtc, grafana, HomeAssistant, influxdb usw). Ist es möglich, diese im eigenen LAN-Netzwerk freien Lauf zu lassen, jedoch den ein- und ausgehenden Traffic zum Internet (Fritzbox) zu unterbinden? Oder muss diese Filterung über die Fritzbox erstellt werden?
Bei go2rtc ist mir z.B. aufgefallen, dass hier ein externer Link erstellt werden kann, mit dem extern auf das Kamerabild zugegriffen werden kann.


Wer gewährleistet mir, dass die Bilder auch bei deaktiviertem Link nicht den Weg ins Netz finden?

Wo setze ich hier am besten an?

 

[Kachelkaiser]

Wenn du unliebsame Überraschungen vermeiden willst, würde ich gerade updaten. Alleine wegen der Sicherheit, DSM 6.2.4 wird halt einfach nicht mehr gepflegt.

Docker gibt es nach wie vor heißt nur Container Manager.

 

[Uwe96]

Der TE möchte den Internet Zugang für Dockercontainer sperren. Was hat deine Antwort damit zu tun?

 

[ADB83]

Danke für eure Antworten.
Soweit ich es gelesen habe, wird ein Downgrade nicht wirklich einfach sein. Ich muss mir wahrscheinlich nochmals kurz Gedanken darüber machen... Im Prinzip hast du recht... ;-)

Hat jemand noch Tipps für das Sperren des Internets für einzelne Container? Oder gestaltet sich dies mit dem neuen "Container Manager" in irgend einer Form einfacher?

 

[Kachelkaiser]

@Uwe96

Ganz einfach ich habe ihm die Bedenken wegen eines evtl nicjt her vorhandenen Docker genommen. Und darauf hingewiesen dass Updates notwendig sind. Wo ist das Problem?


Zum Sperren selbst kann ich leider nicht viel sagen.

 

[Tommes]

Theoretisch sollte das über die "Gerätesperre" (oder auch Kindersicherung) in der Fritzbox funktionieren *klick*

 

[Phoenix1000]

Dann muss man aber für die Suche und ggf. Installation von DSM- bzw. App-Updates jedesmal vorher die Sperre in der FritzBox deaktivieren und anschließend wieder deaktivieren, richtig?
Eleganter wäre es natürlich, nur dem Container Manager den Internet-Zugang zu sperren. Wobei auch das vermutlich nicht optimal ist wegen der Image-Updates. Hat man Watchtower laufen, ist das folglich keine gute Idee. Also bleibt doch nur das Sperren nicht benötigter Ports in der Firewall der DS, würde ich denken. Oder hab' ich was übersehen?

 

[Tommes]

Oder hab' ich was übersehen?

Öhm... ich glaube eher, das ich übersehen habe, das Container i.d.R. die IP der DS tragen und nur über den Port angesprochen werden, außer man verwendet macvlan. Somit solltest du recht haben, das man die Ports in der DS-Firewall entsprechend sperren könnte, wobei ich mir das im Detail noch nicht angeschaut habe.

 

[Phoenix1000]

Na ja, so mache ich es halt. Ist aber bei der Installation eines neuen Containers eine ganz schöne Frickelei rauszubekommen, welche Ports dafür so alle geöffnet werden müssen, bis es funzt. Bei Immich habe ich demletzt noch ein paar graue Haare mehr bekommen, bis ich raus hatte, dass es neben offensichtlichen Ports in der Heimnetz-IP-Range auch noch Freigaben außerhalb der Heimnetz-IP-Range braucht.

 

[Tommes]

Jaaaaa... mich beschleicht grade das Gefühl, das Thema doch zu oberflächlich behandelt zu haben, zumal der Port, auf dem ein Container erreichbar ist ja erstmal nichts mit den Ports zu tun hat, die ein Container evtl. nach außen hin aufbaut, um z.B. "nach Hause" zu funken o.ä. Das könnte in der Tat fricklelig werden. Ich krabbel besser wieder unter meinen Stein und halt die Klappe

 

[Phoenix1000]

Nein, bitte nicht die Klappe halten - das Thema ist hochspannend!

 

[Tommes]

Hm… ich habe mal ein wenig recherchiert, ohne dabei jedoch etwas konkretes getestet zu haben. Zum Einen gäbe es die Möglichkeit jeden Container mittels macvlan in ein eigenes Netzsegment zu verbannen. Über die IP und Ports könnte man dann Firewall-Regeln erstellen um ein- und ausgehenden Datenverkehr zu steuern. Das ginge dann aber nicht mehr über die DS-Firewall sondern eine „echte“ Firewall wie z.B. pfSense oder OPNSense. Alternativ könnte man über die Fritzbox (Gerätesperre bzw. Kindersicherung) rudimentäres erreichen. Macvlan birgt aber auch für sich wieder ganz eigene Gefahren und Stolpersteine.

Dann habe ich gelesen, das man dem Docker-Compose File einen Schalter mitgeben kann, der für das Netzwerk zuständig ist. Dieser Schalter kennt 3 Zustände:

--network=none
--network=host
--network=bridge

Details kann sich jeder bei Bedarf selbst erfragen. Jedenfalls, reicht das alleine wohl noch nicht aus. Ich habe einen Artikel gelesen, wo zusätzlich mit einem Reverse-Proxy gearbeitet wird, so das der Container zunächst seine Anfragen an den Reverse-Proxy stellt und dieser dann entscheidet, ob das zugelassen wird oder nicht. Aber das ist schon ziemliches Deep Drive und in meinen Augen nicht wirklich praxistauglich. Wen es trotzdem interessiert, hier mal zwei Links *klick* und *klick*

Aber wie gesagt… ich bin da jetzt raus, weil ich das a) nicht brauche und b) ich grade besseres zu tun habe um mich näher damit zu beschäftigen, auch wenn das Thema sicherlich nicht uninteressant ist.

Tommes

 

[Benie]

Bleib mal besser von Deinem Stein weg, Dein Wissen und Deine Gedanken zu vielem das hier aufschlägt ist immer wieder Wertvoll

 

[Phoenix1000]

Ich denke mir da nur Folgendes auf die Schnelle: Auf die Netzanbindung entweder über "host" oder "bridge" können die Container natürlich nicht verzichten, damit sie funktionieren - zumindest innerhalb des heimischen Netzwerks. Eine Abschottung bzgl. Internet-Zugriffen von außen bekommt man darüber nicht hin. Da stimme ich Dir, @Tommes, zu: Da wären dedizierte Firewalls wohl das Mittel der Wahl. Damit, so meine Hoffnung, könnte ich auch den Datenverkehr der Container kontrollieren, der über die notwendigerweise geöffneten Ports des Reverse Proxy laufen, wenn denn der Container diesen braucht. Wenn ich mal viel Zeit habe, widme ich mich diesem Projekt ;-). Eine aktivierte Firewall in der DS halte ich aber nicht für einen Fehler.

 

[Tommes]

Dein Wissen

… ist oft nur gefährliches Halbwissen…

und Deine Gedanken

… machen sich hin und wieder selbst Gedanken über das Gedachte.

Da wären dedizierte Firewalls wohl das Mittel der Wahl

Definitiv. Aber hier ist die Lernkurve ziemlich steil, wie ich aus eigener Erfahrung zu berichten weiß.

Eine aktivierte Firewall in der DS halte ich aber nicht für einen Fehler.

Wobei sich diese Firewall ja nur auf die Belange des DSM konzentriert, das dabei aber schon ziemlich gut macht, wie ich finde.

Seih‘s drum. Danke für die Blumen @Benie … aber so ein Stein kann manchmal ganz schön gemütlich sein und einen gewissen Komfort bieten. Außerdem kann ich ja nicht alle retten.

Tommes