Port trotz UFW erreichbar

[second.name]

Hallo Community,
ich glaube, ich "stehe gerade nur auf dem Schlauch" - folgendes kann ich mir nicht erklären:

• auf einer Debian12-VM läuft Portainen
• nun habe ich noch die UFW-Firewall auf dem Debian-Host installiert...
• ...und wundere mich, dass ich trotz aktiver Firewall (ohne Ausnahmen), Portainer auf TCP 9443 erreiche!?

Hat jemand eine Idee?

 

[0x8100]

was sagt denn ufw status?

 

[second.name]

Nur "Status: active"

...Mit SSH hab ich's getestet und dort funktioniert's wie erwartet: Firewall an -> keinen Zugriff; Firewall aus -> Zugriff.

 

[TheCadillacMan]

In der Default-Konfiguration wirken Firewall-Regeln nicht auf Docker-Container wie man das erwarten würde.
UFW muss speziell konfiguriert werden damit Regeln auch für Docker-Ports greifen: https://gnulinux.ch/docker-und-ufw

 

[second.name]

@TheCadillacMan
Herzlichen Dank - das wusste ich nicht und ist genau, was ich gesucht habe. 👍

 

[LiveSafe]

Habe auch mal eine Frage zu der UFW . Habe mal ein zweit System für verschiedene Test aufgesetzt.

Wenn UFW Firewall aktiviert ist , und man UFW Deny 80 als Regel angibt sollte der Port 80 Ankommend wie Abgehend geschlossen sein .

Ich musste feststellen das sich trotzdem Webseiten die nur http anbieten , bedienen lassen .

Port 80also nach außen greift. Von außen wohl nicht erreichbar , denke aber eher der Router blockt die Anfragen von außen.

Schonmal jemand ähnliche Probleme mit UFW festellen können und weiß warum die einfache deny 80 Regel garnicht greift ?

 

[DatAres]

Wenn UFW Firewall aktiviert ist , und man UFW Deny 80 als Regel angibt sollte der Port 80 Ankommend wie Abgehend geschlossen sein .

Nein, kurzer Blick in die Manpages: https://manpages.ubuntu.com/manpages/noble/en/man8/ufw.8.html#rule syntax

ufw supports both ingress and egress filtering and users may optionally specify a
direction of either in or out for either incoming or outgoing traffic. If no direction is
supplied, the rule applies to incoming traffic.

 

[LiveSafe]

Laut der Beschreibung , sollte mit den "deny" Befehl der Port 80 geschlossen sein.

Gibt man den Befehl wie dargestellt ein , ändert sich trotzdem nichts .

@

DatAres​

Deine Interpretation wie du das Nein meinst , wäre mal als kurze Erklärung interessant .

Danke

 

[Uridium]

Nur 'ankommend' wird geblockt, wenn die Richtung nicht explizit angegeben wird.

 

[LiveSafe]

Könntest du mal dann den passenden UFW Befehl geben , um Ab wie Kommend zu blocken ?

Normalesweise sollte , denn man den Port 80 mit deny sperrt nichts mehr darüber laufen können.

Gerne vom Gegenteil und der Quelle überzeugen.

 

[Uridium]

'ufw --help' oder 'man ufw'.

 

[LiveSafe]

Glaube da bringst du ziemlich was durcheinander.

🥹

 

[Uridium]

Das kann durchaus möglich sein.

 

[DatAres]

Könntest du mal dann den passenden UFW Befehl geben , um Ab wie Kommend zu blocken ?

Normalesweise sollte , denn man den Port 80 mit deny sperrt nichts mehr darüber laufen können.

Gerne vom Gegenteil und der Quelle überzeugen.

Auf der verlinkten Website ist doch die komplette Syntax ausführlich erklärt?

ufw deny 80

schließt den eingehenden Port

ufw deny out 80

schließt den ausgehenden Port