Docker молча выставил постгрес в интернет в обход nftables. Месяц торчал наружу

[rust_sre]

Рассказываю, как я месяц кормил весь интернет своим постгресом и не знал.

Сетап: VPS на Селектеле за 1100 руб, 2 vCPU, Debian 12, фаервол на nftables, всё по уму. В table inet filter политика drop, наружу только 443 и ssh на нестандартном порту. Гонял nmap снаружи, всё закрыто, спал спокойно.

Потом поднял docker compose с приложухой и постгресом 16. В компоузе как у всех:

ports:
- "5432:5432"

чтобы с локальной машины через ssh-туннель ходить. Ну вы поняли, да. Docker не ходит через INPUT. Он пишет свои правила в iptables-nft, цепочки DOCKER и DOCKER-USER, и пакеты на опубликованный порт уходят через FORWARD с dnat ещё до того, как мой красивый inet filter их увидит. Политика drop для него пустой звук.

Месяц спустя CPU на сервере упёрся в потолок. В контейнере постгреса процесс kinsing, классический майнер. Зашли через 5432, пароль у постгреса был postgres, потому что "это же только для туннеля". В логах перебор с десятков адресов, шодан такие порты индексирует за пару дней.

Что сделал: снёс контейнер, перекатил VPS с нуля, в компоузе теперь 127.0.0.1:5432:5432, плюс правило в DOCKER-USER на всякий. Но осадок остался. Почему в 2026 dockerd по дефолту публикует на 0.0.0.0 и молча продырявливает фаервол хоста, для меня загадка.

Кто как с этим живёт? daemon.json с "iptables": false пробовал, отвалилась межконтейнерная сеть, откатил.

[proxmoxpilot]

классика жанра. это поведение докера задокументировано лет десять как, в доке прямым текстом написано что published ports обходят фаервол хоста. но читать доку конечно не наш метод, наш метод это месяц майнить кому-то монетки

[Austkin]

DOCKER-USER и есть штатный ответ, она для того и существует. У меня на всех хостах через ансибл раскатано:

iptables -I DOCKER-USER -i ens3 ! -s 10.8.0.0/24 -p tcp -dport 5432 -j DROP

и аналогично на остальные внутренние порты. Цепочка переживает рестарт демона, докер её не перезаписывает, только прыгает в неё первой из FORWARD. Минус в том, что это iptables-синтаксис поверх nft-бэкенда, в чистом nftables-конфиге этих правил не видно, и держишь два мира в голове.

И да, с Docker 28 непубликованные порты перестали быть доступны с соседних хостов через прямую маршрутизацию, гайки чуть прикрутили. Но published на 0.0.0.0 как был, так и остался.

[envoywizard]

поэтому podman. без демона, без своих правил в обход, контейнер живёт как обычный процесс и фаервол хоста работает ровно как написан. quadlet-юниты в systemd, compose почти не нужен. перетащил все домашние и половину рабочих хостов, обратно не тянет

[coder_vlad]

ну началось, в любой теме про докер обязательно придёт человек с подманом. он хорош ровно до момента, когда прилетает чужой compose с хитрым networking, healthcheck и тремя сетями, и начинается пляска с podman-compose, который вечно на полшага позади. На проде, где десяток разношёрстных компоузов от трёх команд, я лучше один раз пропишу DOCKER-USER и забуду

[kubeaddict]

+1, у меня так редис полгода торчал. узнал, когда Селектел прислал абуз, что с моего IP сканят чужие сети. до сих пор стыдно

[Sdgator]

а зачем вообще порт публиковать, если ходишь через туннель? ssh -L и так на localhost сервера заходит, докеру наружу ничего отдавать не надо

[causious]

пароль postgres на постгресе в 2026 это отдельный жанр. даже без докера оно рано или поздно нашлось бы через какой-нибудь дырявый pgadmin. поставь scram-sha-256, нормальный пароль из менеджера и подрежь pg_hba до конкретных сетей. тогда дыра в фаерволе превращается из катастрофы в неприятность. слои защиты работают только когда их больше одного