Sicherheit im Container : Firewall-Daemon firewalld 1.1 bändelt an mit Docker

Das neue firewalld-Release 1.1 bietet Support für eine Reihe von neuen Diensten zur einfachen Anpassung des allgemeinen Firewall-Verhaltens sowie eine Reihe von internen Verbesserungen. Zur einfacheren Installation läuft firewalld 1.1 nun auch in OCI-Containern, wie sie beispielsweise Docker verwendet. Es muss dazu mit "host-networking" gestartet werden, um dem Container den vollen Zugriff auf die entsprechenden Dienste des Hosts zu erlauben: nftables, dbus, NetworkMangager und so weiter.

Die Definitionen der HTTPS-Services wurden zunächst um eine HTTP/3-Unterstützung (443/udp) erweitert. Es gab den Einwand, dass viele Server noch mit HTTP/1.1 arbeiten und die durch diesen Patch zusätzlich geöffneten UDP-Ports dort ein Sicherheitsrisiko darstellen. Daraufhin wurde HTTP/3 stattdessen als komplett neuer Service deklariert.

Unterstützung für Jellyfin und APF

Neu ist auch der Support von WS-Discovery und WP-Discovery auf Client-Seite zum Öffnen der Ports für Web Services Dynamic Discovery. firewalld unterstützt ab Version 1.1 direkt das freie Media-System Jellyfin – eine Alternative zu Plex – und kann dessen Ports für HTTP/HTTPS und Auto-Discovery öffnen. Ebenfalls unterstützt wird nun das Apple Filing Protocol (AFP) auf TCP Ports 548, das Teil der Apple File Services ist. Letztlich fand auch ZeroTier Einzug in firewalld 1.1: ZeroTier dient der einfachen und sicheren Vernetzung zwischen On-Premise-, Cloud-, Desktop- und Mobilgeräten.

Das mittlerweile über 11 Jahre alte firewalld ist ein quelloffenes Management-Werkzeug, um Firewalls unter GNU/Linux zu verwalten. Es dient dabei als Frontend für das netfilter-Framework der Linux-Kernels. Zurzeit wird nftables als Backend (Userspace-Utilities) verwendet, bis Version 0.6 war es iptables. firewalld besteht aus einer Reihe von Python-Skripten und sollte auf C portiert werden – diese Idee gab das Projekt 2015 jedoch auf.

firewalld unterstützt neben IPv4 auch IPv6 und kann separate Firewall-Zonen mit unterschiedlichen Vertrauensgraden verwalten, die in Zonenprofilen definiert sind. Mithilfe des NetworkManagers lassen sich bei der Verbindung zu bekannten WiFi- oder Ethernet-Netzwerken über firewalld automatisch die passenden Zonenprofile aktivieren. Anwendungen wie firewall-config oder firewall-applet stellen für mausorientierte Administratoren grafische Frontends zur Verfügung.

Mehr Details und vor allem den aktuellen Code von firewalld 1.1 gibt es auf der GitHub-Seite des Projektes. Der Vorgänger 1.0 erschien nach langer Entwicklungszeit Mitte 2021.

• Docker: Download schnell und sicher von heise.de

(fo)