Firewallregeln für jdownloader Synology

[Skywalker27]

Hi Leute,

ich habe ne Syno mit DSM7 und den jDownloader mit Docker am laufen. Funktioniert ohne Probleme.
Sobald ich jetzt die Syno-Firewall wieder einschalte geht es natürlich nicht mehr.

Wie kann ich jetzt nur diesen Docker Container in der Firewall freigeben?

 

[D.M.X]

Hi,

ist denn dein NAS/Dienste auch von außerhalb erreichbar - sprich brauchst du die FW überhaupt?

Ansonsten wäre es erstmal interessant was für ein Docker Netzwerk du nutzt.

 

[Skywalker27]

ist denn dein NAS/Dienste auch von außerhalb erreichbar - sprich brauchst du die FW überhaupt?

Ja zwingend.

Docker ist das normale Docker vom Synology App Store

 

[D.M.X]

Ne, es geht um den Network Driver https://docs.docker.com/network/

Nutzt du den default driver wäre das "bridge". Schau unter Docker/Netzwerk/<Netzwerk das du für den Container nutzt>. In der Firewall unter Source IP gibst du dann entweder das gesamte Subnet des Netzwerks frei, oder nur die IP des JDownloader Docker Containers einzeln. Bei den Ports für das Subnet dann das selbe, je nachdem wie restriktiv oder offen du es eben halten willst.

Wichtig ist dabei das Allow Regeln vor einer "Deny All" Regel stehen müssen da die Top to bottom abgearbeitet werden.

 

[Skywalker27]

hmm mir ist leider nicht ganz klar welche IP ich jetzt freigeben soll. Der Docker hat ja keine eigene IP sondern nur die NAS. Die NAS möchte ich aber nicht in der Firewall Freigeben weil ich die dann ja gleich ganz abschalten könnte.

folgendes habe ich probiert. Aber ohne Erfolg.

 

[D.M.X]

Hi,

Docker Container haben schon eigene IP Adressen, bzw. kommt es eben darauf an welchen Network Driver (s. oben) du nutzt. Sehen kannst du das hier https://preview.redd.it/9cicn1xzkjb...bp&s=a5137899fed4766f22a06076eaa16a329745a6b6 (random bild aus dem Internet). Da ist es dann einfach das 172er Subnet. Standard ist "Bridge", ich würde einfach mal raten das hast du auch gesetzt wenn du noch nicht so viel mit Docker zu tun hattest.

Das Subnet hier wird dann eben für deine Container benutzt die du mit dem jeweiligen Network Driver erstellst. Du kannst dann hier eben das ganze Subnet samt Ports freigeben in deiner Firewall, oder du suchst die IP des JDownloader Containers raus (hast du nur einen Container in dem Netzwerk ist es ja einfach, ansonsten per Shell im Container die IP abfragen). Mach doch erstmal ersteres und schaue ob es klappt.

Übrigens mal zu dem Problem nicht direkt: In deinem Screenshot mappst du den Container Port "3129" auf "49156" des Hosts, dieser Port wird für MyJDownloader genutzt, der muss normalerweise auch auf dem Host "3129" sein, sonst geht das nicht.

 

[Skywalker27]

hast recht mit docker habe ich noch keine Erfahung :-)
Wenn ich das 172.er Netz Freigeben funktioniert es. Jetzt muss ich nur noch feststellen, mit welchem Shell Befehl ich die IP vom Container abfragen kann.

 

[D.M.X]

Hatte auch erst dieses Jahr angefangen, man lernt denke ich mit der Zeit
Sehr gut, dann klappt es schon einmal

IP Adresse kannst du einfach mit "ip addr" abfragen, dann solltest du es direkt sehen. Wenn du sowieso nur den einen Container hast in dem Netzwerk dürfte es aber einfach die .2 am Ende sein (.1 ist das IPv4 Gateway).
Schau aber lieber nach.

Alternative: Dann hast du auch gleich noch was interessantes dazu gemacht. Den Docker Container "Portainer" aufsetzen. Das macht die Verwaltung von Docker auf einer Syno auch direkt angenehmer. Da siehst du auch die IP Adressen der Container und so ziemlich alles andere. Die Docker GUI der Syno ist nämlich arg limitiert.