Firewall aktivieren sinnvoll

[Tuxnet]

Mal so eine Frage,

muss man für jedes Docker Netzwerk ( 127.*.0.0 ) eine Regel erstellen ?
Bis Dato machen ich das.

 

[plang.pl]

Nein, da kann man eine erstellen, die alle Netze abdeckt. Also die privaten Netze gehen ja nur von 172.16.0.0 bis 172.31.255.255. Das ist genau die Range, die Docker per default nutzt. So sieht die Regel / Subnetzmaske aus:

 

[olli001]

Die Firewall schützt die DS IN deinem Netzwerk.

Die Annahme lautet "Der böse Feind steht immer innen". Also es wird ein Rechner / Gerät im Netz übernommen (Zero Day, Phishing, etc.), von dort aus dann das Netzwerk kompromittiert. Die Antwort lautet "Zero Trust", also auch innerhalb eines Netzwerks grundsätzlich Abschottung der Geräte untereinander. Zugriffe werden nur über definierte, abgesicherte Pfade erlaubt.

Die Firewall der DS dient einmal dazu. Außerdem natürlich, wenn Ports Richtung Internet offen sind, um auch dort zu steuern und zu begrenzen. Ich meine, sie sollte grundsätzlich aktivier werden. Wie restriktiv man sie dann einstellt, bleibt jedem überlassen.

Die wichtigste Firewall-Regel ist die letzte: Alles, was vorher nicht erlaubt wurde, ist verboten. Wird die vergessen, dann nützen alle Regeln vorher nichts. Die vorher werden in der Reihenfolge abgearbeitet, in der sie aufgelistet sind.

Die DS hilft bei der Einrichtung der Firewall. Also nur keine Angst. Stellst du es zu scharf ein, hilft im Zweifel ein "Kleiner Reset".

Vielen Dank für die Information..