Saltar al contenido

El firewall UFW no funciona en Ubuntu en DigitalOcean

Te sugerimos que revises esta resolución en un entorno controlado antes de enviarlo a producción, un saludo.

Solución:

Docker y UFW no funcionan muy bien juntos, ya que ambos modifican iptables, pero hay una forma de solucionarlo. Deberá configurar Docker para que no use iptables. Agregar 

DOCKER_OPTS="--iptables=false"

a /etc/default/docker y reinicie su host (o reinicie el demonio Docker y UFW).

Estos dos enlaces tienen mucha más información sobre el tema:

https://blog.viktorpetersson.com/2014/11/03/los-peligros-de-ufw-docker.html

https://www.techrepublic.com/article/how-to-fix-the-docker-and-ufw-security-flaw/

Haciendo esto DOCKER_OPTS="--iptables=false" no funcionó para mí

Sugiero añadir estas líneas al final de /etc/ufw/after.rules

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

Aquí la fuente.

Solución alternativa: Suelte UFW y, en su lugar, use Network Firewall disponible en el panel de control digital del océano (en el sitio web).

Si entiendes que ha sido de provecho nuestro post, sería de mucha ayuda si lo compartieras con el resto juniors de este modo contrubuyes a extender nuestra información.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Tags : / / / /

Utiliza Nuestro Buscador

Preguntas Relacionadas:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *