Docker, Nextcloud und die macOS Firewall....

[Ernsti]

hallo zusammen,

ich experimentiere derzeit mit Docker 18.03.1-ce-mac65 (24312) und nextCloud 13.0.2
auf meinem iMac 2013 mit macOS 10.13.4.
dazu hab ich das beispiel "with-nginx-proxy-self-signed-ssl" von den examples
auf github (nextcloud/docker) verwendet.
es funktioniert auch alles wunderbar. zumindest lokal.
der zugriff von einem anderen rechner funktionierte nur bei deaktivierter firewall.
nach langer suche bei dr. google fand ich folgende terminal befehle, die ich auch ausgeführt habe:

sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Library/PrivilegedHelperTools/com.docker.vmnetd;
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --unblockapp /Library/PrivilegedHelperTools/com.docker.vmnetd;

jetzt kommt bei JEDEM start von docker die Sicherheitsabfrage der firewall
"Möchtest du, dass das Programm "com.docker.vmnetd" eingehende Netzwerkverbindungen akzeptiert?".
Obwohl ich jedes mal "Erlauben" klicke, erscheint beim Neustart vom docker die Meldung erneut.

Kann mir vielleicht jemand sage, wie ich es schaffe dass diese Meldung nicht mehr erscheint, zumal ich
ja jedes mal "Erlauben" sage. Fehlen mir da irgendwie rechte, ist das was falsch signiert, oder bin ich einfach zu doof ?????

Achja:
jetzt funktioniert auch die Verbindung von einem anderen rechner bei aktivierter firewall. es nervt halt nur der doofe dialog...

Vielen Dank und schönen Abend !

 

[Olivetti]

ich schätze, du musst deine docker.app "sudo codesign --force ..."en.

 

[Ernsti]

Das werd ich am Abend probieren. Ich hab bereits versucht die

/Library/PrivilegedHelperTools/com.docker.vmnetd;

mit

sudo codesign --force ...

zu überreden, aber an die Docker.app hab ich nicht gedacht. Danke für den Hinweis.

 

[Ernsti]

Jo, jetzt hab ich (leider erfolglos) folgende Befehle versucht:

sudo codesign --force --deep  --sign - /Applications/Docker.app
sudo codesign --force --sign - /Library/PrivilegedHelperTools/com.docker.vmnetd

Leider erscheint die Abfrage immer noch... (auch nach System-Neustart)...
Ich weiß echt nicht mehr wonach ich wo bzw. wie suchen könnte....
Vielleicht hat ja jemand noch einen Hinweis für mich !

Danke.
Have a nice weekend !

 

[Olivetti]

ohne --deep versucht?

 

[Ernsti]

hab grade docker und nextcloud von meinem mäc runtergefetzt und neu draufgebügelt,
beide Befehle ohne --deep abgesetzt und neu hochgefahren.
leider kommt die Sicherheitsabfrage immer noch bei jedem start von docker......
übrigens die Sicherheitsabfrage öffnet sich gleichzeitig drei mal, also 3 Fenster
mit jeweils der selben Meldung......

langsam bin ich am verzweifeln....

 

[Olivetti]

mal ne blöde frage, geht's nur um zugriff im LAN oder auch von aussen und der docker ist exposed?

 

[Ernsti]

guten morgen,
am ende würd ich schon gerne übers internet auf nextcloud zugreifen können.
es soll ev. teile der server.app von apple ersetzen. ich weiß dass ich die firewall deaktivieren könnte,
aber es muss doch irgendwie möglich sein, der firewall das beizubringen...

Danke.

have a nice day !

 

[Ernsti]

also irgendwie check ich die macOS firewall wirklich nicht....
wenn ich im terminal nach dem starten von docker

/usr/libexec/ApplicationFirewall/socketfilterfw --listapps

eingebe, während die Sicherheitsabfrage angezeigt wird, erhalte ich

24 :  /Library/PrivilegedHelperTools/com.docker.vmnetd 
        ( Allow incoming connections )

Aber warum muss ich dann noch auf "Erlauben" klicken ????
Ich hab auch die Gegenprobe mit "Nicht erlauben" gemacht, dann bekomme ich die Ausgabe:

24 :  /Library/PrivilegedHelperTools/com.docker.vmnetd 
       ( Block incoming connections )

für was sind die sch.... önen Einstellungen gut, wenn sie nicht funktionieren ?

 

[Olivetti]

probier mal die FW auszuschalten, dann ...vmnetd im terminal erlauben und FW wieder einschalten.

 

[Ernsti]

Danke für den Hinweis, hab nun folgendes probiert:

- Docker beendet
- Firewall deaktiviert

Im Terminal folgendes eingegeben:

sudo /usr/libexec/ApplicationFirewall/socketfilterfw --remove /Library/PrivilegedHelperTools/com.docker.vmnetd;
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Library/PrivilegedHelperTools/com.docker.vmnetd;
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --unblockapp /Library/PrivilegedHelperTools/com.docker.vmnetd;

- Firewall aktiviert
- Docker gestartet

Leider erscheinen die Meldungen immer noch....

 

[Olivetti]

Das ist schon mehr als dubios.
Mehr fällt mir aber i.M. auch nicht ein.

 

[Ernsti]

Dank dir trotzdem für die Mühe und wünsch dir noch ein schönes, erholsames Wochenende !

 

[Olivetti]

doch noch was... stell die ports mal um, auf nicht privileged ports, wie 8080. hauptsache über 1024.

 

[Ernsti]

bo ey - du bist mein held !

habe port 80 auf 8080 und port 443 auf 8443 gelegt.
jetzt fragt das ding nicht mehr. ist ja geil.
kannst du mir dazu bitte auch noch etwas Hintergrundinfo geben, damit ich nicht gaaaanz doof sterbe ?

ich danke dir für die hilfe, mühe und energie, die du in mein problem reingesteckt hast,
und wünsch dir noch einen schönen (firewall freien) Abend !

 

[Olivetti]

ich kann es dir auch nicht genau sagen, und vor allem warum socketfilterfw die unteren ports aufmacht, aber nicht speichern kann. apple und netzwerk halt wiedermal – zwei welten prallen aufeinander.

schön, das es jetzt doch noch funktioniert. zumindest, wenn es dich nicht stört, obere ports zu benutzen.

wenn du von aussen drauf willst, kannst du deine router-FW-regel-auf-den-docker ja umlenken lassen (aussen 80 -> innen 8080 usw.). wichtig evtl., wenn mobil-apps in's spiel kommen.

 

[Ernsti]

nö - stört mich net, bin froh das es funktioniert....

also in diesem sinne:

wenn du glaubst es geht nicht mehr - kommt irgendwo ein Lichtlein her...

Danke nochmals !

 

[Olivetti]

hab #16 editiert (router-regel). peace, over and out.