Dockerのポートマッピングのデフォルト設定は危ない - JUNのブログ

あらすじ 公衆WiFiに繋いだ状態でいつものように docker container run -p 8080:80 nginx のような感じでDockerコンテナを動かしていたら、外部からリクエストを受信した。 ファイアウォールを設定し、外部からのアクセスを拒否しているはずなのになぜアクセスできたんだ... 環境 Docker desktop for mac with apple silicon 4.21.0 何が起きた? Dockerはデフォルトの設定では-p 8080:80のようにポートマッピングするとファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている。 その結果LAN内の他のPCから対象ポートにアクセス出来てしまう。 ちなみにこれはDocker公式からも注意が出ている。 Publishing container ports is insecur

[dorje2009]

「なんでデフォルトがinsecureやねん」ほんそれ

[civicpg]

"-p 127.0.0.1:8080:80"で指定した時の区切り文字:の分かりにくさよ

[Kesin]

デフォルトの公開範囲をローカルホスト内に閉じられる設定が存在するのは知らなかった。こっちをデフォルトにしてほしい / と思ったけどサーバー用途だとこの方が便利か。Docker Desktopではデフォルトで欲しいけど

[junjun777]

「なんでデフォルトがinsecureやねん」その方が便利だから。secureになってたら「なんでdockerのデフォルトなんて開発用に決まってるのに無駄にsecure？」って言われる。

[tmatsuu]

Linux環境はiptablesを操作するので仕様と思っていたが、検証してみたらmacOSのファイアウォールを有効にしても確かに外部からアクセスできた。利便性とのトレードオフだな。第三者がアクセスできる環境で使うべからず

[zoidstown]

“"ip": "127.0.0.1" をDockerEngineの設定に追加してあげれば、デフォルトの公開範囲をローカルホスト内だけにできるので設定しましょう。”

[igrep]

Docker Desktop使わずにWSL2とかVirtualBoxとかで自前で建てたVMでやってる場合はさすがにセーフよね...

[t2y-1979]

docker は開発ツールなんだから開発者にとってのデフォルトは insecure じゃないかな？

[zakinco]

『Dockerはデフォルトの設定では』『ポートマッピングするとファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている』え？マジで？

[wtatsuru]

Docker Desktop は安全側がデフォルトになって欲しいな

[iselegant]

これ、デフォルトの許可元をループバックアドレスにしてほしいよね・・・

[lesamoureuses]

“ファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている”

[Pasta-K]

そうなのか…

[kazokmr]

社内ネットワークでdocker使っている場合にどれだけ影響がある話なのかがよくわかってない

[hayashin10]

そもそも公衆Wi-Fiでそんなことするのやめようぜ

[NetPenguin]

"This creates a firewall rule in the host, mapping a container port to a port on the Docker host to the outside world. " 使い勝手の方を優先したのかな……

[ys0000]

メインサーバーにSSHしてデプロイしてるので当然の挙動として知っていた。端末のWin機だとWSL2だから明示的にフォワードしないと繋がらないし。つまりどちらも意図通りに使えていた。サーバー製品だと思ってるし。

[uzuki05]

“手元の開発マシンに関してはデフォルトでポートの公開範囲を制限するのがいい”

[koseki]

Docker Desktop が Mac のファイアウォール設定を勝手に書き換えるということ…？

[getcha]

WSLつかっていっても同じかな...後で環境を確認。

[f-shin]

この話との違いが飲み込めてない https://blog.ikedaosushi.com/entry/2018/07/23/191952

[hagane]

意外とDockerがネットワーク設定書き換えてること知らない人も多いのだな。不意にiptables（今更感あるけど）とか触ってると、nat テーブルがむちゃくちゃ変わっててびっくりするよ

[honeybe]

これは知らんかった

[circled]

「インフラで苦労したくないとDockerに手を出すだろ？」『まぁ、出すよね？』「今度はDockerのインフラで苦労すんのよ？』「(既存の運用で)進めば(問題は)一つ、(Dockerに)逃げれば(問題は)二つ！？」

[shiba_yu36]

まじか

[moriken1098]

はよ修正せーや…

[tettekete37564]

8080は予約されたポート番号じゃないからね。大抵FWに禁止ポート追加できるから設定すると良い。UDPブロードキャスト応答とかもね / こういう知識があるのが問題社員らしい

[kanezoh]

これは知見

[takatama]

こわい

[hr-tachikawa]

まじか。知らんかった。

[cateiru]

うそやん

[eerga]

知らなかった