Private Netzwerke - wie ip Bereich festlegen wg. firewall

[tdse]

Wenn ich einen neuen Docker Container (bridge) anlege, dann wird entweder der Netzwerkbereich 192.168.x.0 oder 172.x.0.0 automatisch zugewiesen. Gibt es eine Möglichkeit, alle privaten ip Adressen in der Firewall freizugeben? Oder wenigstens die Vergabe von privaten Netzwerkadressen auf den Adressraum 172.x.0.0 zu beschränken? Vielen Dank.

 

[EDvonSchleck]

https://www.synology-forum.de/threads/firewall-nimmt-profil-nicht.124881/post-1049424

 

[tdse]

OK. Danke So habe ich es auch gelöst.

 

[EDvonSchleck]

Dort fehlt beim ersten Netz eine 225 im Subnetz! Alles andere wäre untypisch!

 

[tdse]

Ich will doch den gesamten Bereich 192.168.0.0 bis 192.168.255.255 freigeben. In meinem internen Dockernetzwerk gibt es Adressen wie 192.168.240.x.

 

[haydibe]

Dann ist 255.255.0.0 aka eine 16Bit Subnetz-Maske doch auch völlig richtig.

Über die Syno-UI kann man die IP-Ranges eines Bridge-Netzwerks definieren.
In einem Compose File oder `docker network create` muss man IPAM (IP Adrress Management) konfigurieren.

Was ist dein konkretes Ziel und dein bevorzugter Weg es zu konfigurieren? Syno-UI, Portainer, Compose File, Terminal? Was darf's sein?

 

[tdse]

Es geht mir um das Testen von verschiedenen Containern neben normalen Containern, die permanent laufen. Jetzt habe ich mehrere Container aus dem Internet erreichbar gemacht. Und da hat sich die Firewall-Frage gestellt. Mittlerweile habe ich auf die harte Weise gelernt, wie interne Netzwerke funktionieren.

Leider habe ich keine Einstellmöglichkeiten für die IP-Ranges des Bridge-Netzwerkes gefunden. Und IPAM sagt mir gar nichts.

 

[EDvonSchleck]

Dass du nicht mit dem originalen Netzwerk auskommst, ist schon komisch. Container im Synology Netzwerk können sich nicht untereinander unterhalten. In jedem Netzwerk hast du 255 Adressen, was reicht dir denn da nicht?

 

[tdse]

Docker vergibt für jeden neuen Container einen neuen Netzwerkbereich (z. B. 172.26.0.0/16), der auch beim Löschen des Originalcontainers nicht wieder automatisch freigegeben wird. 100 ip Adressen würden mir reichen.

 

[EDvonSchleck]

Docker vergibt für jeden neuen Container einen neuen Netzwerkbereich

Kann ich so nicht bestätigen, normal landet alles erst einmal im Bridge-Netzwerk von Synology. Ich habe viel experimentiert und auch Dockernetzwerke gelöscht und wieder installiert. Meine Netzwerke sind ab 172.17. (Bridge) aufwärts automatisch angelegt worden. Sobald ein Netzwerk gelöscht wird, wird dieses auch wieder unter der gleichen IP erstellt. Eventuell hilft ein Neustart. Meine DS läuft ja schon seit Jahren so.

 

[haydibe]

Leider habe ich keine Einstellmöglichkeiten für die IP-Ranges des Bridge-Netzwerkes gefunden.

Ich hab gerade nachgesehen: Es geht nur beim Neuanlegen von Bridge-Netzwerken. Erste wenn die Netze 172.16.x.x bis 172.31.x.x durch sind (da passen 4096 24bit Netzwerke rein!), werden die 192er Netze genommen.

Die Frage hatte eigentlich die Absicht, zu verstehen über welchen Weg Du es konfigurieren möchtest damit man diesen beschreibt.

Container im Synology Netzwerk können sich nicht untereinander unterhalten

Container innerhalb eines nachträglich angelegten Container Netzwerks können innerhalb dieses Netzwerks miteinander kommunizieren. Sie können nur nicht mit Containern kommunizieren, die in anderen Container Netzwerken sind. Nur das Default Bridge-Netzwerk ist hier die Sonderlocke: hier können Container nicht miteinander kommunizieren, außer sie werden miteinander gelinkt.

 

[EDvonSchleck]

@haydibe, Ich meinte das Synology-Bridge-Netzwerk (Standard) nicht, die man separat anlegen kann. Dieses sollte bei Container-Erstellung automatisch ausgewählt sein.

 

[tdse]

Die Frage hatte eigentlich die Absicht, zu verstehen über welchen Weg Du es konfigurieren möchtest damit man diesen beschreibt.

Ich lege über Portainer (copy & paste einer Docker Compose Datei in Stacks) einen neuen Container an. Mit dem Thema Netzwerke hatte ich mich bis dahin nicht beschäftigt, außer daß ich ein kleines macvlan verwende.

 

[EDvonSchleck]

Und da haben wir es wieder. MacVLAN und anschließend berichten, dass etwas nicht funktioniert. Wie du siehst, bin ich kein Freund davon.

 

[haydibe]

@EDvonSchleck das ist die Default-Bridge, allerdings wird die von Docker selbst angelegt bei ersten Start des Docker Demons nach der Installation. Die gibt es auf jedem Docker Host und die ist als einzige mit dem Interface Docker0 verbunden. In der Docker-Welt benutzt man das Netzwerk eigentlich nicht und "Container-LInken" ist schon lange deprecated und wird irgendwann aus Docker ausgebaut.

 

[EDvonSchleck]

Das weiß ich schon. Aber ich habe ja auch einzelnen Container, die nicht miteinander reden müssen und dafür ist die Synology Bridge doch bestens geeignet. Alle anderen Anwendungen, welche mehrere Container benötigen, lasse ich für jede Anwendung zusammen laufen. Datenbanken können ggf. auch in mehreren Netzwerken vorhanden sein. "Container-LInken" nutze ich nicht.

 

[tdse]

Noch eine Zusatzfrage: Ist möglich, die Firewall zu cachen? Ich bemerke eine Latenz von 1 - 2 Sekunden beim Aktualisieren von Daten beim Aufruf eines Containers bei eingeschalteter Firewall im Vergleich zur ausgeschalteten Firewall.

 

[EDvonSchleck]

Nein, wenn etwas länger dauert, stimmt eher etwas anderes nicht. Eine Latenz habe ich noch nicht festgestellt. Entweder der Zugriff besteht oder nicht.