Weihnachten steht vor der Tür. Wer noch auf der Suche nach einem passenden Geschenk ist, findet möglicherweise auch im Produkt-Portfolio oder im Merchandise-Shop von Mozilla die eine oder andere Idee. Dieser Artikel fasst ein paar Geschenkideen zusammen.

Mozilla VPN

Produkt-Beschreibung

Mit dem Mozilla VPN bietet Mozilla in Zusammenarbeit mit Mullvad sein eigenes Virtual Private Network an und verspricht neben einer sehr einfachen Bedienung eine durch das moderne und schlanke WireGuard-Protokoll schnelle Performance, Sicherheit sowie Privatsphäre: Weder werden Nutzungsdaten geloggt noch mit einer externen Analysefirma zusammengearbeitet, um Nutzungsprofile zu erstellen.

Ein VPN kann nicht nur die Privatsphäre durch Verschleierung des realen Aufenthaltsortes verbessern, es kann auch bei der Umgehung von Geo-Restriktionen beispielsweise bei Live-Übertragungen oder Video-Streams helfen. In Kombination mit der kostenlosen Browser-Erweiterung besteht für Firefox-Nutzer außerdem die einzigartige Möglichkeit, in unterschiedlichen Tabs über jeweils unterschiedliche Länder verbunden zu sein.

Preis

Das Mozilla VPN kostet 9,99 € pro Monat bei nur einem Monat Bindung respektive 59,88 € pro Jahr, was einer Ersparnis von 50 Prozent entspricht.

Zur Produktseite vom Mozilla VPN

---

Firefox Relay Premium

Produkt-Beschreibung

E-Mail-Adressen sind gleichzusetzen mit einer persönlichen Adresse. Sie sind einmalig und viele Nutzer besitzen nur eine einzige E-Mail-Adresse, die sie teilweise auf dutzenden, wenn nicht gar auf hunderten Websites verwenden. Findet auf einer Website, auf der man mit seiner E-Mail-Adresse registriert ist, ein Datendiebstahl statt, wird damit in vielen Fällen auch die persönliche E-Mail-Adresse offengelegt. Und haben Spammer erstmal eine E-Mail-Adresse in ihrem System, darf man sich auf viele unerwünschte E-Mails ohne realistische Hoffnung einstellen, dass der Spam abnehmen wird.

Mit Firefox Relay können sogenannte Masken als Alias-Adressen angelegt werden, die der Nutzer für Newsletter-Anmeldungen und Website-Registrierungen angeben kann. Firefox Relay leitet diese E-Mails dann an die persönliche E-Mail-Adresse weiter. Außerdem kann Firefox Relay bekannte Tracking-Scripts aus E-Mails entfernen.

Firefox Relay ist kostenlos. Es gibt aber auch eine kostenpflichtige Premium-Version, welche unendlich viele Masken anstelle von nur fünf sowie eine eigene E-Mail-Domain erlaubt. Außerdem können in Firefox Relay Premium auf weitergeleitete E-Mails geantwortet und Werbe-Mails automatisch blockiert werden.

Preis

Firefox Relay Premium kostet 1,99 € pro Monat bei nur einem Monat Bindung respektive 11,88 € pro Jahr, was einer Ersparnis von 50 Prozent entspricht.

Nutzer in den USA und Kanada können optional auch noch eine Telefonnummer-Maskierung als optionales Zusatzpaket dazu buchen. Wer sich dafür entscheidet, erhält ein Kontingent von 50 Sprachminuten für eingehende Anrufe sowie 75 Text-Nachrichten pro Monat. Die Kosten dafür liegen bei 4,99 USD pro Monat respektive 47,88 USD pro Jahr, was einer Ersparnis von 20 Prozent entspricht.

Ebenfalls in den USA und Kanada möglich ist eine Bündelung mit dem Mozilla VPN. In dem Fall bezahlt man nur 83,88 USD statt 107,76 USD und erhält dafür beide Produkte für ein komplettes Jahr.

Zur Produktseite von Firefox Relay Premium

---

Solo Pro

Produkt-Beschreibung

Solo ist ein Website-Builder von Mozilla, der auf Künstliche Intelligenz (KI) und einen einfachen Erstellungsprozess setzt. Neben der kostenlosen Version gibt es auch eine Pro-Version mit zusätzlichen Vorteilen.

Mit Solo Pro kann man bis zu fünf statt bis zu drei Websites veröffentlichen, bis zu 25 statt nur drei Entwürfe speichern und bis zu drei statt nur einer Domain verbinden. Eine benutzedefinierte Domain bis zu einem Wert von 12 USD pro Jahr ist inklusive. Wem 25 Bilder-Uploads pro Website nicht ausreichen, kann bis zu 100 Bilder hochladen und es können bis zu fünf Personen an einer Website arbeiten. Pro-Nutzer können Websites duplizieren und auch im <head>-Bereich der Website benutzerdefinierten Code hinzufügen. Außerdem berechtigt die Nutzung der Pro-Version zum Entfernen des Solo-Logos in der rechten unteren Ecke der erstellten Websites.

Preis

Solo Pro kostet 25 USD pro Monat bei nur einem Monat Bindung respektive 240 USD pro Jahr, was einer Ersparnis von 20 Prozent entspricht.

Zur Produktseite von Mozilla Solo Pro

---

MDN Plus

Produkt-Beschreibung

Die kostenfreie Entwickler-Dokumentation MDN Web Docs, ehemals Mozilla Developer Network, dürfte vermutlich jedem bekannt sein, der bereits mit dem Thema Webentwicklung in Berührung kam. Immerhin ist dies wohl für viele die Anlaufstelle Nummer Eins, wenn es um Themen wie HTML, CSS und JavaScript geht. MDN Plus bietet zusätzliche Funktionen für Nutzer.

Mit den „Updates“ besitzen die MDN Web Docs eine tabellarische Auflistung von Dokumentations-Änderungen in Zusammenhang mit Browser-Updates. Nutzer von MDN Plus erhalten zusätzliche Funktionen zum Filtern und Sortieren sowie zum direkten Speichern in einer eigenen Sammlung.

Seiten können mit MDN Plus zu sogenannten Sammlungen hinzugefügt und damit an einem zentralen Ort gesammelt und außerdem mit Notizen versehen werden.

MDN Playgrounds erlauben das Experimentieren mit Code. Nutzer von MDN Plus können ihre Playgrounds mit anderen Nutzern teilen. Außerdem haben Nutzer von MDN Plus Beta-Zugriff auf einen KI-Assistenten, der Fragen in Echtzeit auf Basis der MDN-Inhalte beantwortet.

Preis

Mozilla bietet MDN Plus in mehreren Preisstufen an. Eine kostenlose Registrierung bietet Zugriff auf alle oben genannten Vorteile. Dabei sind die Sammlungen auf maximal drei Stück und der KI-Assistent auf bis zu fünf Fragen pro Tag limitiert.

MDN Plus 5 bietet alle Vorteile in unbegrenzter Form, zusätzlich die Möglichkeit zur Offline-Speicherung von Artikeln sowie komplette Werbefreiheit und kostet 5,00 € pro Monat bei nur einem Monat Bindung respektive 50,00 € pro Jahr, was einer Ersparnis von knapp 17 Prozent entspricht.

MDN Supporter 10 bietet die gleichen Leistungen wie MDN Plus 5 und gewährt zusätzlich frühen Zugriff auf neue Features. Vor allem aber richtet sich diese Option an all jene, welche den Betrieb der kostenlosen MDN Web Docs noch mehr unterstützen wollen. Denn diese Option kostet mit 10,00 € pro Monat bei nur einem Monat Bindung das Doppelte, respektive 100,00 € pro Jahr, was erneut einer Ersparnis von knapp 17 Prozent entspricht.

Zur Produktseite von MDN Plus

---

Merchandise-Artikel von Mozilla

T-Shirts, Pullover, Mützen, Taschen, Tassen und mehr gibt es im offiziellen Merchanise-Shop von Mozilla. Dabei stehen Designs von Mozilla, Firefox, Thunderbird, Pocket, Mozilla Hubs sowie dem Mozilla Festival zur Verfügung. Hier gibt es auch schon Artikel mit Kit, dem neuen Maskottchen von Mozilla.

Zum Merchandise-Shop von Mozilla

---

Spenden an die Mozilla Foundation

Während die Entwicklung von Firefox sowie der kommerziellen Produkte in die Zuständigkeit der Mozilla Corporation fällt, gibt es auch noch die gemeinnützige Stiftung, welche auf den Namen Mozilla Foundation hört. Deren Arbeit, welche weit über die Produktentwicklung hinausgeht und unter anderem Themen wie Internet-Politik betrifft, wird durch Spenden finanziert.

Für die Mozilla Foundation spenden

---

Spenden für Thunderbird

Auch der kostenfreie E-Mail-Client Thunderbird nimmt eine besondere Position ein, da dieser weder ein Produkt der Mozilla Corporation noch der Mozilla Foundation ist, sondern von der MZLA Technologies Corporation, einer weiteren Mozilla-Tochter, entwickelt und komplett durch Spenden finanziert wird.

Für Thunderbird spenden

---

Bonus: Spenden für den ehrenamtlichen Firefox-Support

Diesen Punkt möchte ich als Bonuspunkt anführen, da dieser nicht Mozilla selbst betrifft. Die Unterstützung bei Problemen mit Firefox und anderen kostenlosen Mozilla-Produkten geschieht auf ehrenamtlicher Basis. Ich bin nicht nur der Betreiber von soeren-hentzschel.at, sondern gleichzeitig auch von camp-firefox.de, der größten Support-Plattform zu Firefox im deutschsprachigen Raum. Der Betrieb einer solchen Plattform verursacht Kosten und zwar jährlich in hoher dreistelliger Höhe, an erster Stelle für den Server sowie für benötigte Software. Arbeitskosten sind dabei noch gar nicht mit einberechnet. Wer den langfristigen Betrieb dieser wichtigen Support-Plattform für Firefox unterstützen möchte, kann auch für camp-firefox.de spenden.

Für camp-firefox.de spenden

Der Beitrag 🎄🎁 Weihnachten steht vor der Tür – Produkte von Mozilla als Geschenkidee erschien zuerst auf soeren-hentzschel.at.

Nvidia hat Sicherheitslücken in seiner KI-Hardware DGX Spark sowie im NeMo-Framework geschlossen.

Die Ära des Linux Kernel 5.4 ist offiziell beendet. Nach über sechs Jahren intensiver Betreuung wurde die Serie nun als ausgedient markiert. Mehr als dreihundert Wartungsupdates begleiteten diesen langlebigen Zweig. Veröffentlicht im November 2019, war Linux 5.4 ein verlässlicher Begleiter. Bis Dezember 2025 erhielt die Serie kontinuierliche Korrekturen und Sicherheitsupdates. Mit Version 5.4.302 endet nun […]

Der Beitrag Abschied von Linux Kernel 5.4 nach 6 Jahren Pflege erschien zuerst auf fosstopia.

Das finnische Technologieunternehmen Jolla versucht sich neben Sailfish OS wieder an der Produktion von Hardware. Das Jolla Phone kann jetzt im Crowdfunding vorbestellt werden.

Die OSBA Connect 2025 brachte am 13. November rund 120 Teilnehmende in Berlin zusammen – unter ihnen viele hochmotivierte neue Mitglieder. Gerade für diese boten sich viele Gelegenheiten, die Working Groups, das Team und den Vorstand der OSBA und viele andere spannende Gäste persönlich kennenzulernen. Das Bühnenprogramm zeigte eindrucksvoll, welche Chancen in offenen Technologien, internationalen Kooperationen und entschlossenen IT-Entscheidungen stecken.

Quelle

Die Kernel Entwickler haben Linux 6.18 offiziell zu einem Kernel mit Langzeitunterstützung (LTS) erklärt. Damit gehört die jüngste Version des Kernels nun zu den langlebigen Fundamenten des Linux Ökosystems. Für Anwender bedeutet das vor allem verlässliche Pflege und planbare Updates. Reguläre Kernel erscheinen in kurzen Abständen von einigen Wochen. Sie liefern neue Funktionen und Verbesserungen, […]

Der Beitrag Linux 6.18 steigt in die Liga der LTS Kernel ein erschien zuerst auf fosstopia.

Die UBports Foundation hat heute zwei neue Updates veröffentlicht. Ubuntu Touch Nutzer erhalten OTA 1.1 für Version 24.04 sowie OTA 11 für Version 20.04. Beide bringen Verbesserungen und schließen sicherheitsrelevante Lücken. Ein zentrales Highlight ist die VoLTE Unterstützung. Fairphone 4 und Volla Phone 22 profitieren direkt davon. Zusätzlich wurde eine kritische Schwachstelle im GStreamer Framework […]

Der Beitrag Ubuntu Touch OTA-1.1 erhält frische Updates mit wichtigen Neuerungen erschien zuerst auf fosstopia.

Der Meta Konzern unter Führung von Mark Zuckerberg will seine Anstrengungen im Kampf gegen Scam, also betrügerische Anzeigen und Postings, weiter verstärken, denn die würden nicht nur einzelnen…

Das KDE Projekt hat einen historischen Schritt angekündigt. Mit der kommenden Version Plasma 6.8 wird die Desktopumgebung ausschließlich auf Wayland laufen. Damit endet nach fast drei Jahrzehnten die Ära von X11 im KDE Umfeld. Die Entscheidung folgt einem Trend, den auch GNOME und Budgie bereits eingeschlagen haben. Entwickler sehen darin die Chance für neue Funktionen, […]

Der Beitrag KDE Plasma 6.8 verabschiedet sich von X11 und setzt auf Wayland erschien zuerst auf fosstopia.

Das Solus Team hat die neue Version 4.8 veröffentlicht. Zehn Monate nach dem letzten Release präsentiert sich die Distribution mit zahlreichen Verbesserungen und einem komplett überarbeiteten Webauftritt. Der Codename „Opportunity“ soll den Aufbruch in eine neue Entwicklungsphase symbolisieren. Mit dieser Ausgabe ist die lang geplante Usr-Merge Umstellung abgeschlossen. Das Projekt nutzt nun das Polaris Paketarchiv, […]

Der Beitrag Solus 4.8 „Opportunity“ bringt frischen Schwung für alle Editionen erschien zuerst auf fosstopia.

Clement Lefebvre hat den Codenamen der kommenden Linux Mint Version enthüllt. Die neue Ausgabe trägt den Namen Zena und erscheint voraussichtlich zu Weihnachten. Sie basiert auf Ubuntu 24.04 LTS und nutzt Kernel 6.14. Die Entwickler versprechen zahlreiche Verbesserungen für den Alltag. Neue Werkzeuge zur Systemverwaltung und ein überarbeitetes Menü für Cinnamon stehen bereit. Symbolische Kategorien […]

Der Beitrag Linux Mint 22.3 Zena kündigt sich als Weihnachtsgeschenk an erschien zuerst auf fosstopia.

Die Release-Manager haben die neueste Version 25.11 von NixOS mit dem Codenamen „Xantusia“veröffentlicht.

Linus Torvalds hat die Veröffentlichung von Linux Kernel 6.18 bestätigt. Trotz einiger zusätzlicher Fehlerkorrekturen in der letzten Woche sieht er die Version als stabil und bereit für den Einsatz. Damit öffnet sich die Tür für eine Vielzahl neuer Funktionen, die Entwickler und Anwender gleichermaßen begeistern dürften. Besonders auffällig sind die Verbesserungen im Speicher und Netzwerkbereich. […]

Der Beitrag Linux Kernel 6.18 ist da. Das sind die Neuerungen erschien zuerst auf fosstopia.

Die Entwickler der auf Arch aufbauenden Distro EndeavourOS melden sich mit Ganymede zurück. Die neue ISO Ausgabe liefert ein umfassendes Update für Live Umgebung und Offline Installer. Die Entwickler betonen, dass die längere Wartezeit kein Hinweis auf Probleme sei. Mit Ganymede ist das System wieder vollständig mit der Arch Basis synchronisiert. Enthalten sind aktuelle Versionen […]

Der Beitrag EndeavourOS Ganymede bringt frischen Wind für Arch Nutzer erschien zuerst auf fosstopia.

Black Forest Labs gibt bekannt, dass sie eine Serie-B-Finanzierungsrunde über 300 Millionen Dollar erfolgreich abgeschlossen haben.

Canonical hat den ersten Snapshot von Ubuntu 26.04 veröffentlicht. Damit beginnt eine Serie von fünf monatlichen Entwicklungsständen bis April 2026. Ziel ist es, die neue LTS Version mit automatisierten Builds und Tests zu erproben. Die Snapshots erscheinen für alle Ubuntu Flavours und nicht nur die Hauptausgabe mit GNOME. Sie sind Momentaufnahmen des Entwicklungsstands und werden […]

Der Beitrag Ubuntu 26.04 startet mit erstem Snapshot in die Entwicklung erschien zuerst auf fosstopia.

Die Arbeiten an Plasma 6.6 schreiten sichtbar voran und die Entwickler geben einen Vorgeschmack auf das kommende Desktop Erlebnis. Der finale Veröffentlichungstermin ist für Februar 2026 angesetzt, doch schon jetzt werden viele Details bekannt. Eine besonders interessante Funktion erlaubt das gezielte Ausschließen einzelner Fenster bei Bildschirmaufnahmen. Diese Einstellung lässt sich direkt über Titelleiste, Task Manager […]

Der Beitrag KDE Plasma 6.6 zeigt spannende Neuerungen vor dem großen Release erschien zuerst auf fosstopia.

In unserem neuen Mitgliederinterview stellt sich die credativ GmbH vor: Geschäftsführer David Brauner spricht über digitale Souveränität als fundamentalen Wert, die Bedeutung von Herstellerunabhängigkeit und transparentem Quellcode sowie die Rückkehr zur OSBA. Nach dem Management-Buyout startet credativ mit voller Energie in die Open-Source-Zukunft und möchte seine langjährige Expertise in die gemeinsamen Arbeitsgruppen einbringen.

Quelle

Open-Source-Anbieter Adfinis wurde auf dem IONOS Summit 2025 als Consulting Partner of the Year ausgezeichnet. Der Preis wurde im Rahmen der IONOS Partner Awards am 4. November in Berlin verliehen. Die Auszeichnung würdigt den Erfolg von Adfinis bei der Bereitstellung robuster und sicherer Cloud-Native-Plattformen in Partnerschaft mit IONOS.

Quelle

Das brandneue InfinityBook Max 15 erweitert die beliebte InfinityBook-Pro-Reihe um grafisch leistungsstarke und gleichzeitig sehr dünne, leichte und mobile Businessnotebooks für Work & Play. Ausgestattet mit AMD Ryzen AI Prozessoren und NVIDIA GeForce RTX Grafikkarten der schnellen Mittelklasse, bietet das InfinityBook Max 15 starke Rechenpower für Softwareentwicklung, anspruchsvolle Mediengestaltung und Gaming. Kombiniert mit bis zu massiven 128 GB Arbeitsspeicher und einem maximal […]

Quelle

Um der kritischen strategischen Notwendigkeit der digitalen Souveränität in Europa gerecht zu werden, kündigt Red Hat, der weltweit führende Anbieter von Open-Source-Lösungen, „Red Hat Confirmed Sovereign Support“ für die 27 Mitgliedstaaten der Europäischen Union an. Dieses neue Support-Angebot wurde speziell entwickelt, um dedizierten, von EU-Bürgern gestützten technischen Support innerhalb der EU für Software-Subskriptionen von Red Hat bereitzustellen. Damit soll ein neues Maß an überprüfbarer lokaler Kontrolle über kritische IT-Vorgänge ermöglicht werden.

Quelle

Der langjährige Open-Source-Anbieter Adfinis gibt mit der Ernennung von zwei neuen C-Level-Führungskräften wichtige Änderungen in der Geschäftsleitung bekannt. Dies ist Teil einer strategischen Weiterentwicklung der Führungsstruktur, die den Wachstumskurs des Unternehmens unterstützt.

Quelle

Neue ISOs für EndeavourOS und CachyOS stehen zum Download bereit. AMD nutzt für seine Radeon Software Mesa als Basis. Die Online-Office-Suite Collabora bringt eine neue Offline-App. Valve hat in Zusammenarbeit mit AMD die Color-Pipeline-API finalisiert, welche für bessere Hardwarenutzung und einheitliche Farbdarstellung sorgt.

Die Docker Engine 29 unter Linux unterstützt erstmals Firewalls auf nftables-Basis. Die Funktion ist explizit noch experimentell, aber wegen der zunehmenden Probleme mit dem veralteten iptables-Backend geht für Docker langfristig kein Weg daran vorbei. Also habe ich mir gedacht, probiere ich das Feature einfach einmal aus. Mein Testkandidat war Fedora 43 (eine reale Installation auf einem x86-Mini-PC sowie eine virtuelle Maschine unter ARM).

Inbetriebnahme

Das nft-Backend aktivieren Sie mit der folgenden Einstellung in der Datei /etc/docker/daemon.json:

{ 
  "firewall-backend": "nftables"
}

Diese Datei existiert normalerweise nicht, muss also erstellt werden. Die Syntax ist hier zusammengefasst.

Die Docker-Dokumentation weist darauf hin, dass Sie außerdem IP-Forwarding erlauben müssen. Alternativ können Sie Docker anweisen, auf Forwarding zu verzichten ("ip-forward": false in daemon.json) — aber dann funktionieren grundlegende Netzwerkfunktionen nicht.

# Datei /etc/sysctl.d/99-docker.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

sysctl --system aktiviert die Änderungen ohne Reboot.

Die Docker-Dokumentation warnt allerdings, dass dieses Forwarding je nach Anwendung zu weitreichend sein und Sicherheitsprobleme verursachen kann. Gegebenenfalls müssen Sie das Forwarding durch weitere Firewall-Regeln wieder einschränken. Die Dokumentation gibt ein Beispiel, um auf Rechnern mit firewalld unerwünschtes Forwarding zwischen eth0 und eth1 zu unterbinden. Alles in allem wirkt der Umgang mit dem Forwarding noch nicht ganz ausgegoren.

Praktische Erfahrungen

Mit diesen Einstellungen lässt sich die Docker Engine prinzipiell starten (systemctl restart docker, Kontrolle mit docker version oder systemctl status docker). Welches Firewall-Backend zum Einsatz kommt, verrät docker info:

docker info | grep 'Firewall Backend'

 Firewall Backend: nftables+firewalld

Ich habe dann ein kleines Compose-Setup bestehend aus MariaDB und WordPress gestartet. Soweit problemlos:

docker compose up -d

  [+] Running 2/2
  Container wordpress-sample-wordpress-1  Running   0.0s 
  Container wordpress-sample-db-1         Running   0.0s 
  Attaching to db-1, wordpress-1


docker compose ps

  NAME                           IMAGE             ...   PORTS
  wordpress-sample-db-1          mariadb:latest          3306/tcp
  wordpress-sample-wordpress-1   wordpress:latest        127.0.0.1:8082->80/tcp

Firewall-Regeln

Auch wenn ich kein nft-Experte bin, wollte ich mir zumindest einen Überblick verschaffen, wie die Regeln hinter den Kulissen funktionieren und welchen Umfang sie haben:

# ohne Docker (nur firewalld)
nft list tables

  table inet firewalld

nft list ruleset | wc -l

    374

# nach Start der Docker Engine (keine laufenden Container)
nft list tables

  table inet firewalld
  table ip docker-bridges
  table ip6 docker-bridges

nft list ruleset | wc -l

    736

Im Prinzip richtet Docker also zwei Regeltabellen docker-bridges ein, je eine für IPv4 und für IPv6. Die zentralen Regeln für IPv4 sehen so aus (hier etwas kompakter als üblich formatiert):

nft list table ip docker-bridges

table ip docker-bridges {
  map filter-forward-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-in__docker0 }
  }
  map filter-forward-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-out__docker0 }
  }
  map nat-postrouting-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-in__docker0 }
  }
  map nat-postrouting-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-out__docker0 }
  }
  chain filter-FORWARD {
    type filter hook forward priority filter; policy accept;
    oifname vmap @filter-forward-in-jumps
      iifname vmap @filter-forward-out-jumps
  }
  chain nat-OUTPUT {
    type nat hook output priority dstnat; policy accept;
    ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-POSTROUTING {
    type nat hook postrouting priority srcnat; policy accept;
    iifname vmap @nat-postrouting-out-jumps
      oifname vmap @nat-postrouting-in-jumps
  }
  chain nat-PREROUTING {
    type nat hook prerouting priority dstnat; policy accept;
    fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-prerouting-and-output {
  }
  chain raw-PREROUTING {
    type filter hook prerouting priority raw; policy accept;
  }
  chain filter-forward-in__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      iifname "docker0" counter packets 0 bytes 0 accept comment "ICC"
      counter packets 0 bytes 0 drop comment "UNPUBLISHED PORT DROP"
  }
  chain filter-forward-out__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      counter packets 0 bytes 0 accept comment "OUTGOING"
  }
  chain nat-postrouting-in__docker0 {
  }
  chain nat-postrouting-out__docker0 {
    oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade comment "MASQUERADE"
  }
}

Diese Tabelle richtet NAT-Hooks für Pre- und Postrouting ein, die über Verdict-Maps (Datenstrukturen zur Zuordnung von Aktionen) später dynamisch auf bridge-spezifische Chains weiterleiten können. Für das Standard-Docker-Bridge-Netzwerk (docker0, 172.17.0.0/16) sind bereits Filter-Chains vorbereitet, die etablierte Verbindungen akzeptieren, Inter-Container-Kommunikation erlauben würden und nicht veröffentlichte Ports blocken, sowie eine Masquerading-Regel für ausgehenden Traffic von Containern, damit diese über die Host-IP auf das Internet zugreifen können. Die meisten Chains sind vorerst leer oder inaktiv (nat-prerouting-and-output, raw-PREROUTING, nat-postrouting-in__docker0). Wenn Docker Container ausführt, interne Netzwerk bildet etc., kommen weitere Regeln innerhalb von ip docker-bridges hinzu.

Zusammenspiel mit libvirt/virt-manager

Vor ca. einem halben Jahr bin ich das erste Mal über das nicht mehr funktionierende Zusammenspiel von Docker mit iptables und libvirt mit nftables gestolpert (siehe hier). Zumindest bei meinen oberflächlichen Tests klappt das jetzt: libvirt muss nicht auf iptables zurückgestellt werden sondern kann bei der Defaulteinstellung nftables bleiben. Dafür muss Docker wie in diesem Beitrag beschrieben ebenfalls auf nftables umgestellt werden. Nach einem Neustart (erforderlich, damit alte iptables-Docker-Regeln garantiert entfernt werden!) kooperieren Docker und libvirt so wie sie sollen. libvirt erzeugt für seine Netzwerkfunktionen zwei weitere Regeltabellen:

nft list tables

table inet firewalld
table ip docker-bridges
table ip6 docker-bridges
table ip libvirt_network
table ip6 libvirt_network

Einschränkungen und Fazit

• Die Docker-Dokumentation weist darauf hin, dass das nftables-Backend noch keine Overlay-Regeln erstellt, die für den Betrieb von Docker Swarm notwendig sind. Docker Swarm funktioniert also aktuell nicht, wenn Sie Docker auf nftables umstellen. Für mich ist das kein Problem, weil ich Docker Swarm ohnedies nicht brauche.

• Ich habe meine Tests nur unter Fedora durchgeführt. (Meine Zeit ist auch endlich.) Es ist anzunehmen, dass RHEL plus Klone analog funktionieren, aber das bleibt abzuwarten. Debian + Ubuntu wären auch zu testen …

• Ich habe nur einfache compose-Setups ausprobiert. Natürlich kein produktiver Einsatz.

• Meine nftables- und Firewall-Kenntnisse reichen nicht aus, um eventuelle Sicherheitsimplikationen zu beurteilen, die sich aus der Umstellung von iptables auf nftables ergeben.

Losgelöst von den Docker-spezifischen Problemen zeigt dieser Blog-Beitrag auch, dass das Zusammenspiel mehrerer Programme (firewalld, Docker, libvirt, fail2ban, sonstige Container- und Virtualisierungssysteme), die jeweils ihre eigenen Firewall-Regeln benötigen, alles andere als trivial ist. Es würde mich nicht überraschen, wenn es in naher Zukunft noch mehr unangenehme Überraschungen gäbe, dass also der gleichzeitige Betrieb der Programme A und B zu unerwarteten Sicherheitsproblemen führt. Warten wir es ab …

Insofern ist die Empfehlung, beim produktiven Einsatz von Docker auf dem Host möglichst keine anderen Programme auszuführen, nachvollziehbar. Im Prinzip ist das Konzept ja nicht neu — jeder Dienst (Web, Datenbank, Mail usw.) bekommt möglichst seinen eigenen Server bzw. seine eigene Cloud-Instanz. Für große Firmen mit entsprechender Server-Infrastruktur sollte dies ohnedies selbstverständlich sein. Bei kleineren Server-Installationen ist die Auftrennung aber unbequem und teuer.

Quellen/Links

• https://kofler.info/dockers-nft-inkompatibilitaet-wird-zunehmend-zum-aergernis/
• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://docs.docker.com/engine/network/firewall-nftables/#migrating-from-iptables-to-nftables
• https://docs.docker.com/engine/daemon/
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface

SonicWall hat mehrere Sicherheitslücken in Email Security und SonicOS SSLVPN geschlossen. Im Ernstfall ist eine komplette Systemkompromittierung möglich.