docker rootful 위험성

agnusdei·2025년 3월 19일

Docker와 Podman의 네트워크 동작 방식은 크게 다르며, Docker가 시스템의 네트워크 정책을 덮어쓴다는 문제는 주로 Docker Daemon과 브리지 네트워크 방식 때문이야.

Podman은 기본적으로 rootless 컨테이너를 지원하고, 네트워크 설정이 호스트의 네트워크 정책을 따르지만, Docker는 rootful로 동작하면서 자체 네트워크 구성을 사용하기 때문에 정책이 덮어씌워질 수 있어.

🔥 Docker가 호스트 네트워크 정책을 덮어쓰는 이유

✅ 1. Docker Daemon이 자체 네트워크를 관리

Docker는 dockerd라는 데몬 프로세스가 시스템의 네트워크를 직접 설정해.

  • Docker가 실행되면 기본적으로 docker0라는 브리지 네트워크를 생성하고, 컨테이너는 이 네트워크를 통해 통신해.
  • 기본적으로 호스트의 iptables 정책을 수정하면서 포트 포워딩이나 NAT 설정을 자동으로 적용해.
  • 결과적으로 호스트의 기존 네트워크 정책이 덮어씌워질 수 있음.

👉 Docker를 실행하면 iptables -t nat 테이블이 덮어쓰기될 수 있음! 

iptables -t nat -L -n

이걸 실행해보면 Docker 관련 체인 (DOCKER 같은)이 추가된 걸 볼 수 있어.

✅ 2. Docker의 기본 네트워크 드라이버 (bridge)

Docker는 기본적으로 bridge 네트워크를 사용함.

  • 컨테이너들은 기본적으로 docker0 브리지 네트워크를 통해 통신
  • iptablesDNAT (Destination NAT) 규칙을 추가하여 외부에서 컨테이너에 접근 가능하도록 설정
  • 결과적으로 기존 네트워크 정책이 변경될 수 있음

🚨 예제: iptables NAT 테이블 확인 

iptables -t nat -L -n -v

Docker가 추가한 규칙 예시:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 to:172.17.0.2:80

이런 식으로 Docker가 자체적으로 NAT 규칙을 추가함.

✅ 3. Docker의 host 네트워크 모드 사용 시 문제

Docker에서 --network host 옵션을 사용하면,
컨테이너가 호스트 네트워크를 직접 사용하기 때문에 호스트의 기존 방화벽 규칙을 우회할 수 있음.

docker run --network host nginx

이렇게 하면 컨테이너가 호스트의 네트워크를 그대로 사용하면서 기존 네트워크 정책을 무시할 수 있어.

🔥 Podman은 어떻게 다를까?

1. Podman은 iptables을 직접 변경하지 않음

Podman은 rootless 모드로 실행될 때, 호스트의 네트워크 설정을 건드리지 않고 사용자 공간에서 동작해.

  • Podman은 slirp4netns(rootless 네트워크)나 cni-plugins를 사용
  • Docker처럼 iptables -t nat 규칙을 수정하지 않음
  • 네트워크를 변경하지 않기 때문에, 호스트의 방화벽 규칙을 그대로 유지함

👉 Podman은 네트워크를 분리된 네임스페이스에서 실행하므로, 호스트의 네트워크 정책을 덮어쓰지 않음!

🚀 Docker vs Podman 네트워크 차이 정리

기능DockerPodman
기본 네트워크docker0 브리지 사용CNI (rootful) / slirp4netns (rootless)
iptables 수정iptables -t nat 변경 (DNAT, 포트포워딩)iptables 건드리지 않음 (rootless 기준)
방화벽 규칙 영향호스트 방화벽 규칙 덮어씌울 가능성 높음방화벽 설정을 유지
--network host 사용 시호스트 네트워크 정책 우회 가능호스트 방화벽 정책 유지
rootless 지원기본적으로 root 권한 필요기본적으로 rootless 동작 가능

🔥 결론: Docker는 iptables 및 방화벽 정책을 덮어쓸 가능성이 높다!

1️⃣ Docker는 docker0 브리지 네트워크를 만들고 iptables -t nat 규칙을 수정함
2️⃣ 호스트 네트워크 정책이 덮어쓰기될 가능성이 있음 (특히 방화벽 규칙)
3️⃣ Podman은 rootless 모드에서는 iptables를 변경하지 않음 → 네트워크 정책이 유지됨

👉 해결 방법:

  • Docker에서 네트워크 설정을 조정하려면 iptables=false 설정을 고려할 수 있음.
  • Podman은 rootless 모드를 사용하면 네트워크 변경 없이 실행 가능.

🚀 즉, Podman은 네트워크를 보호하는데 더 적합하고, Docker는 네트워크를 변경할 가능성이 크다!

profile
agnusdei
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent
이전 포스트

기출 SIP(Session Initiation Protocol)의 개념과 주요 구성 요소(Location Server, SIP Client, UAS, UAC, PSTN, SIP Gateway, SIP Proxy Server, Redirect Server 등)

다음 포스트

기출 RTP(Real-time Transport Protocol)

0개의 댓글