Mozilla hat Firefox 146 für Android veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 146 für Android.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 146 für Android

Vervollständigung und Synchronisation von Adressen

Das Speichern und Vervollständigen von Adressen wurde zusätzlich zu den USA und Kanada jetzt auch für Nutzer in Deutschland, Großbritannien, Frankreich, Spanien, Japan und Brasilien aktiviert. Außerdem können die Adressen jetzt geräteübergreifend synchronisiert werden.

Verbesserte Streaming-Kompatibilität

Firefox unterstützt nebem dem Widevine CDM jetzt auch das ClearKey CDM von Android, womit die Wiedergabe DRM-geschützter Videos auf diversen Websites funktioniert, auf denen es bislang in Firefox nicht möglich war.

Sonstige Neuerungen von Firefox 146 für Android

Auf dem Startbildschirm gibt es neben der Überschrift „Geschichten” einen neuen Link für einen eigenen Bildschirm, der empfohlene Artikel anzeigt. Während dieser aktuell einfach nur eine größere Darstellung der gleichen Artikel beinhaltet, sollen hier in Zukunft mehr Artikel angezeigt werden.

Die standardmäßig ausgelieferten Verknüpfungen auf dem Startbildschirm können sich jetzt je nach Region des Anwenders unterscheiden.

Bei Uploadfeldern auf Websites, welche keinen expliziten Dateitypen angegeben haben, kann der Nutzer nun wahlweise eine Datei auswählen, ein Foto aufnehmen oder Audio aufzeichnen.

Die Vibration für die Textauswahl wurde verbessert, wenn haptisches Feedback in den Android-Einstellungen aktiviert ist.

Das Feature, um ein Problem auf einer Website zu melden, wurde um eine Vorschau für die Meldung erweitert.

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube.

Der Beitrag Mozilla veröffentlicht Firefox 146 für Android erschien zuerst auf soeren-hentzschel.at.

Mit der Veröffentlichung von Firefox 146 kann der Mozilla-Browser unter anderem nativ mit Fractional Scaling umgehen.

Die Europäische Union verfolgt ihre Pläne zur verpflichtenden Chatkontrolle nicht weiter. Statt automatischer Scans privater Kommunikation dürfen Anbieter künftig freiwillig prüfen. Damit endet eine lange Debatte über anlasslose Überwachung digitaler Inhalte. Der Europäische Rat präsentierte seine Position zum geplanten Gesetz für Kinderschutz im Netz. Der vollständige Beschluss ist online nachlesbar. Tech Konzerne wie Alphabet und […]

Der Beitrag EU stoppt verpflichtende Chatkontrolle und setzt auf Freiwilligkeit erschien zuerst auf fosstopia.

Die KDE Entwickler haben nur wenige Wochen nach Plasma 6.5.3 soeben Plasma 6.5.4 veröffentlicht und liefern zahlreiche Verbesserungen. Das Update konzentriert sich auf Stabilität und Detailpflege und macht den Desktop spürbar runder. Nutzer dürfen sich über viele kleine Korrekturen freuen die den Alltag erleichtern. Besonders auffällig sind die Anpassungen im Fenstermanager KWin. Probleme mit HiDPI […]

Der Beitrag Plasma 6.5.4 bringt frischen Glanz für KDE Nutzer erschien zuerst auf fosstopia.

Die openSUSE Innovator Initiative bringt frischen Schwung in die Hardwareunterstützung von openSUSE. Erstmals steht ein Paket für den Intel Neural Processing Unit Treiber bereit. Eine NPU dient der Beschleunigung von KI Berechnungen wie Bilderkennung und Sprachverarbeitung. Damit beginnt die Integration dieser Technologie in die openSUSE Welt. Die neuen Pakete sind aktuell experimentell und für mehrere […]

Der Beitrag Intel NPU Treiber erreicht openSUSE Ökosystem erschien zuerst auf fosstopia.

Mozilla hat Firefox 146 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Backup-Funktion für Nutzer von Windows

Mozilla hat eine Backup-Funktion in Firefox integriert, um wichtige Daten auch ohne Synchronisation auf einfache Weise von einem Gerät auf ein anderes übertragen zu können. Zum Sichern sensibler Daten wie Passwörter und Kreditkarten-Daten muss ein Passwort konfiguriert werden, welches zur Verschlüsselung der Daten verwendet wird.

Die Hauptzielgruppe in der ersten Phase der Feature-Ausrollung sind Nutzer von Windows 10, welche sich einen neuen Computer mit Windows 11 kaufen, da die offizielle Sicherheits-Unterstützung von Windows 10 durch Microsoft kürzlich ausgelaufen ist und nicht jedes System mit Windows 10 auf Windows 11 aktualisiert werden kann. Aus diesem Grund ist die Funktion zur Sicherung in Firefox 146 ausschließlich auf Geräten mit Windows 10 standardmäßig aktiviert, während die Wiederherstellen-Funktion sowohl auf Windows 10 als auch auf Windows 11 aktiviert ist. Standardmäßig ist das OneDrive-Verzeichnis als Speicherort für die Backups ausgewählt, sodass auf dem neuen Gerät direkt auf das Backup zugegriffen werden kann. Der Speicherort kann aber auch manuell verändert werden.

Auch wenn die Backup-Funktion komplett unabhängig von der Firefox-Synchronisation ist, ist die Funktion derzeit im Abschnitt „Sychronisation” der Firefox-Einstellungen platziert.

Geplant ist, die Backup-Funktion im Laufe der kommenden Monate auf alle Systeme zu bringen.

Profile: Desktop-Verknüpfungen, Kopierfunktion und Senden von Tabs an andere Profile

Auf Windows können für die Profile optional jetzt auch Desktop-Verknüpfungen erstellt werden. Außerdem wurde eine Funktion zum Kopieren von Profilen hinzugefügt und über das Kontextmenü der Tabs können diese in anderen Profilen geöffnet werden.

Automatischer Wetter-Standort per Opt-in

Die automatische Standort-Erkennung für die Wetterfunktion auf der Firefox-Startseite erfolgt für Nutzer in der Europäischen Union sowie manchen weiteren Ländern jetzt per Opt-in. Diese Neuerung wird schrittweise im Laufe der kommenden Wochen ausgerollt werden.

Firefox Labs auch für Nutzer ohne aktivierte Telemetrie

Der Abschnitt „Firefox Labs” in den Firefox-Einstellungen erlaubt die Aktivierung experimenteller Funktionen durch den Anwender. Bislang war die Aktivierung von Telemetrie und Teilnahme an Studien zwingende Voraussetzung, damit „Firefox Labs” zur Verfügung steht. Dies wird nicht länger vorausgesetzt.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 146 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 146 daher für alle Nutzer dringend empfohlen.

Firefox unterstützt nun ML-KEM für WebRTC, indem es während des DTLS 1.3-Handshakes einen Post-Quantum-Schlüssel (PQ) sendet. ML-KEM ist ein Public-Key-Kryptosystem der nächsten Generation, das als sicher gegen Angreifer mit großen Quantencomputern gilt.

Sonstige Endnutzer-Neuerungen in Firefox 146

Die dünnen Scrollbalken auf Windows haben jetzt auch Schaltflächen zum nach oben und nach unten Scrollen.

Die von Firefox verwendete Grafikbibliothek Skia wurde aktualisiert, um die Rendering-Performance und Kompatibilität zu verbessern. Die Unterstützung für die alte Grafikschnittstelle Direct2D unter Windows wurde entfernt.

Auf auf macOS nutzt Firefox jetzt einen dedizierten GPU-Prozess für seine Grafik-Engine WebRender, WebGL und WebGPU. Schwerwiegende Fehler im Grafik-Code lassen damit nicht länger den kompletten Browser abstürzen.

Firefox unterstützt jetzt nativ fraktionierte Skalierungen auf Linux (Wayland), wodurch die Darstellung effektiver wird.

Die automatische Spracherkennung für die Übersetzungsfunktion wurde verbessert. Außerdem gab es mehrere Verbesserungen, um die Übersetzung aus und in Sprachen mit unterschiedlicher Schreibrichtung zu verbessern.

Für Nutzer in den USA kann die Adressleiste jetzt auch Auskünfte zur Flugzeiten und Sportergebnisse anzeigen. Diese Neuerung wird schrittweise im Laufe der kommenden Wochen ausgerollt werden.

Das Erweiterungs-Panel zeigt im Fehlerbehebungsmodus jetzt einen Hinweis an, dass aus diesem Grund sämtliche Erweiterungen deaktiviert sind.

Ein Import von Daten aus dem Internet Explorer wird nicht länger unterstützt.

In der Regelansicht des Inspektor-Entwicklerwerkzeugs werden unbenutzte benutzerdefinierte CSS-Eigenschaften nun standardmäßig ausgeblendet. Dies verbessert die Übersichtlichkeit und beschleunigt in manchen Fällen auch die Darstellung des Inspektor-Panels.

Verbesserungen der Webplattform

Firefox 146 unterstützt die CSS Funktion contrast-color, welche einen Farbwert entgegen nimmt und eine Kontrastfarbe zurück gibt. Die Funktion gewährleistet in der Regel den Mindestkontrast gemäß WCAG AA. Aktuell gibt die Funktion gemäß Spezifikation entweder Schwarz oder Weiß zurück. Diese Einschränkung soll in Zukunft aber entfallen.

Ebenfalls unterstützt wird jetzt das veraltete Schlüsselwort -webkit-fill-available als Wert für die CSS-Eigenschaften width und height. Dies verbessert die Darstellung von Inhalten auf Websites, die diesen Wert verwenden. Dieses Schlüsselwort ist ein Alias für das kürzlich standardisierte Schlüsselwort stretch, das von Firefox noch nicht unterstützt wird.

Die @scope-Regel in CSS wird nun unterstützt, sodass Autoren das Styling auf einen Teilbaum des DOM beschränken können. Dadurch muss nicht mehr auf übermäßig spezifische Selektoren zurückgegriffen werden.

Mittels text-decoration-inset kann in CSS der Start- und Endpunkt für Text-Unterstreichungen festgelegt werden.

Für den Zeit-Picker bei Verwendung von <input type="time"> pder <input type="datetime-local"> gibt es nun eine vollständige Unterstützung für Tastaturen und assistive Technologien.

Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Der Beitrag Mozilla veröffentlicht Firefox 146 erschien zuerst auf soeren-hentzschel.at.

Die Open-Source-Lösung Proxmox Datacenter Manager ist eine zentrale Managementlösung zur Überwachung und Verwaltung mehrerer Nodes und Cluster von Proxmox-basierten virtuellen Umgebungen.

Beim letzten Firefox des Jahres können sich die Wayland-Nutzer unter uns über Fractional Scaling freuen. Ob es die neue KI-Funktion zur Link-Vorschau wirklich gebraucht hätte, sei dahingestellt.

Canonical erweitert sein Angebot und bringt Ubuntu Pro nun direkt auf das Windows Subsystem für Linux (WSL). Damit reagiert das Unternehmen auf die wachsende Nachfrage in Firmenumgebungen und bietet erstmals professionelle Unterstützung für diese Plattform. Die neue Lösung richtet sich an Unternehmen, die auf langfristige Sicherheit und zuverlässige Wartung setzen. Ubuntu Pro für WSL liefert […]

Der Beitrag Ubuntu Pro für das Windows Subsystem für Linux verfügbar erschien zuerst auf fosstopia.

Die Ära des Linux Kernel 5.4 ist offiziell beendet. Nach über sechs Jahren intensiver Betreuung wurde die Serie nun als ausgedient markiert. Mehr als dreihundert Wartungsupdates begleiteten diesen langlebigen Zweig. Veröffentlicht im November 2019, war Linux 5.4 ein verlässlicher Begleiter. Bis Dezember 2025 erhielt die Serie kontinuierliche Korrekturen und Sicherheitsupdates. Mit Version 5.4.302 endet nun […]

Der Beitrag Abschied von Linux Kernel 5.4 nach 6 Jahren Pflege erschien zuerst auf fosstopia.

Mit Version 3.23.0 setzt das auf Sicherheit und einfache Handhabung ausgelegte Alpine Linux nun statt auf Linux-Edge Paketen auf Linux-Stable.

Die Kernel Entwickler haben Linux 6.18 offiziell zu einem Kernel mit Langzeitunterstützung (LTS) erklärt. Damit gehört die jüngste Version des Kernels nun zu den langlebigen Fundamenten des Linux Ökosystems. Für Anwender bedeutet das vor allem verlässliche Pflege und planbare Updates. Reguläre Kernel erscheinen in kurzen Abständen von einigen Wochen. Sie liefern neue Funktionen und Verbesserungen, […]

Der Beitrag Linux 6.18 steigt in die Liga der LTS Kernel ein erschien zuerst auf fosstopia.

Die UBports Foundation hat heute zwei neue Updates veröffentlicht. Ubuntu Touch Nutzer erhalten OTA 1.1 für Version 24.04 sowie OTA 11 für Version 20.04. Beide bringen Verbesserungen und schließen sicherheitsrelevante Lücken. Ein zentrales Highlight ist die VoLTE Unterstützung. Fairphone 4 und Volla Phone 22 profitieren direkt davon. Zusätzlich wurde eine kritische Schwachstelle im GStreamer Framework […]

Der Beitrag Ubuntu Touch OTA-1.1 erhält frische Updates mit wichtigen Neuerungen erschien zuerst auf fosstopia.

Die Proxmox Server Solutions GmbH aus Wien hat die generelle Verfügbarkeit der ersten stabilen Version des neuen Proxmox Datacenter Manager auf der Basis von Debian 13 bekannt gegeben.

Das KDE Projekt hat einen historischen Schritt angekündigt. Mit der kommenden Version Plasma 6.8 wird die Desktopumgebung ausschließlich auf Wayland laufen. Damit endet nach fast drei Jahrzehnten die Ära von X11 im KDE Umfeld. Die Entscheidung folgt einem Trend, den auch GNOME und Budgie bereits eingeschlagen haben. Entwickler sehen darin die Chance für neue Funktionen, […]

Der Beitrag KDE Plasma 6.8 verabschiedet sich von X11 und setzt auf Wayland erschien zuerst auf fosstopia.

Der letzte Kernel eines Jahres ist gemeinhin der nächste Kernel mit Langzeitunterstützung. Der gerade zum LTS-Kernel erklärte Linux 6.18 erhält vorerst zwei Jahre Unterstützung.

Am Wochenende hat Linus Torvalds, der Herr der Kernel, Linux 6.18 freigegeben. Erfreulicherweise ist die Zahl der teilnehmenden Entwickler so hoch wie nie zuvor.

Das Solus Team hat die neue Version 4.8 veröffentlicht. Zehn Monate nach dem letzten Release präsentiert sich die Distribution mit zahlreichen Verbesserungen und einem komplett überarbeiteten Webauftritt. Der Codename „Opportunity“ soll den Aufbruch in eine neue Entwicklungsphase symbolisieren. Mit dieser Ausgabe ist die lang geplante Usr-Merge Umstellung abgeschlossen. Das Projekt nutzt nun das Polaris Paketarchiv, […]

Der Beitrag Solus 4.8 „Opportunity“ bringt frischen Schwung für alle Editionen erschien zuerst auf fosstopia.

Clement Lefebvre hat den Codenamen der kommenden Linux Mint Version enthüllt. Die neue Ausgabe trägt den Namen Zena und erscheint voraussichtlich zu Weihnachten. Sie basiert auf Ubuntu 24.04 LTS und nutzt Kernel 6.14. Die Entwickler versprechen zahlreiche Verbesserungen für den Alltag. Neue Werkzeuge zur Systemverwaltung und ein überarbeitetes Menü für Cinnamon stehen bereit. Symbolische Kategorien […]

Der Beitrag Linux Mint 22.3 Zena kündigt sich als Weihnachtsgeschenk an erschien zuerst auf fosstopia.

Linus Torvalds hat die Veröffentlichung von Linux Kernel 6.18 bestätigt. Trotz einiger zusätzlicher Fehlerkorrekturen in der letzten Woche sieht er die Version als stabil und bereit für den Einsatz. Damit öffnet sich die Tür für eine Vielzahl neuer Funktionen, die Entwickler und Anwender gleichermaßen begeistern dürften. Besonders auffällig sind die Verbesserungen im Speicher und Netzwerkbereich. […]

Der Beitrag Linux Kernel 6.18 ist da. Das sind die Neuerungen erschien zuerst auf fosstopia.

Die Entwickler der auf Arch aufbauenden Distro EndeavourOS melden sich mit Ganymede zurück. Die neue ISO Ausgabe liefert ein umfassendes Update für Live Umgebung und Offline Installer. Die Entwickler betonen, dass die längere Wartezeit kein Hinweis auf Probleme sei. Mit Ganymede ist das System wieder vollständig mit der Arch Basis synchronisiert. Enthalten sind aktuelle Versionen […]

Der Beitrag EndeavourOS Ganymede bringt frischen Wind für Arch Nutzer erschien zuerst auf fosstopia.

Das auf die Erstellung von Multimedia-Inhalten spezialisierte AV Linux (AVL) und MX Moksha (MXM) 25 wurden laut Entwickler Glen MacArthur nach einer langen und mühsamen Entwicklungsphase…

Canonical hat den ersten Snapshot von Ubuntu 26.04 veröffentlicht. Damit beginnt eine Serie von fünf monatlichen Entwicklungsständen bis April 2026. Ziel ist es, die neue LTS Version mit automatisierten Builds und Tests zu erproben. Die Snapshots erscheinen für alle Ubuntu Flavours und nicht nur die Hauptausgabe mit GNOME. Sie sind Momentaufnahmen des Entwicklungsstands und werden […]

Der Beitrag Ubuntu 26.04 startet mit erstem Snapshot in die Entwicklung erschien zuerst auf fosstopia.

Die Arbeiten an Plasma 6.6 schreiten sichtbar voran und die Entwickler geben einen Vorgeschmack auf das kommende Desktop Erlebnis. Der finale Veröffentlichungstermin ist für Februar 2026 angesetzt, doch schon jetzt werden viele Details bekannt. Eine besonders interessante Funktion erlaubt das gezielte Ausschließen einzelner Fenster bei Bildschirmaufnahmen. Diese Einstellung lässt sich direkt über Titelleiste, Task Manager […]

Der Beitrag KDE Plasma 6.6 zeigt spannende Neuerungen vor dem großen Release erschien zuerst auf fosstopia.

Die Docker Engine 29 unter Linux unterstützt erstmals Firewalls auf nftables-Basis. Die Funktion ist explizit noch experimentell, aber wegen der zunehmenden Probleme mit dem veralteten iptables-Backend geht für Docker langfristig kein Weg daran vorbei. Also habe ich mir gedacht, probiere ich das Feature einfach einmal aus. Mein Testkandidat war Fedora 43 (eine reale Installation auf einem x86-Mini-PC sowie eine virtuelle Maschine unter ARM).

Inbetriebnahme

Das nft-Backend aktivieren Sie mit der folgenden Einstellung in der Datei /etc/docker/daemon.json:

{ 
  "firewall-backend": "nftables"
}

Diese Datei existiert normalerweise nicht, muss also erstellt werden. Die Syntax ist hier zusammengefasst.

Die Docker-Dokumentation weist darauf hin, dass Sie außerdem IP-Forwarding erlauben müssen. Alternativ können Sie Docker anweisen, auf Forwarding zu verzichten ("ip-forward": false in daemon.json) — aber dann funktionieren grundlegende Netzwerkfunktionen nicht.

# Datei /etc/sysctl.d/99-docker.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

sysctl --system aktiviert die Änderungen ohne Reboot.

Die Docker-Dokumentation warnt allerdings, dass dieses Forwarding je nach Anwendung zu weitreichend sein und Sicherheitsprobleme verursachen kann. Gegebenenfalls müssen Sie das Forwarding durch weitere Firewall-Regeln wieder einschränken. Die Dokumentation gibt ein Beispiel, um auf Rechnern mit firewalld unerwünschtes Forwarding zwischen eth0 und eth1 zu unterbinden. Alles in allem wirkt der Umgang mit dem Forwarding noch nicht ganz ausgegoren.

Praktische Erfahrungen

Mit diesen Einstellungen lässt sich die Docker Engine prinzipiell starten (systemctl restart docker, Kontrolle mit docker version oder systemctl status docker). Welches Firewall-Backend zum Einsatz kommt, verrät docker info:

docker info | grep 'Firewall Backend'

 Firewall Backend: nftables+firewalld

Ich habe dann ein kleines Compose-Setup bestehend aus MariaDB und WordPress gestartet. Soweit problemlos:

docker compose up -d

  [+] Running 2/2
  Container wordpress-sample-wordpress-1  Running   0.0s 
  Container wordpress-sample-db-1         Running   0.0s 
  Attaching to db-1, wordpress-1


docker compose ps

  NAME                           IMAGE             ...   PORTS
  wordpress-sample-db-1          mariadb:latest          3306/tcp
  wordpress-sample-wordpress-1   wordpress:latest        127.0.0.1:8082->80/tcp

Firewall-Regeln

Auch wenn ich kein nft-Experte bin, wollte ich mir zumindest einen Überblick verschaffen, wie die Regeln hinter den Kulissen funktionieren und welchen Umfang sie haben:

# ohne Docker (nur firewalld)
nft list tables

  table inet firewalld

nft list ruleset | wc -l

    374

# nach Start der Docker Engine (keine laufenden Container)
nft list tables

  table inet firewalld
  table ip docker-bridges
  table ip6 docker-bridges

nft list ruleset | wc -l

    736

Im Prinzip richtet Docker also zwei Regeltabellen docker-bridges ein, je eine für IPv4 und für IPv6. Die zentralen Regeln für IPv4 sehen so aus (hier etwas kompakter als üblich formatiert):

nft list table ip docker-bridges

table ip docker-bridges {
  map filter-forward-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-in__docker0 }
  }
  map filter-forward-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-out__docker0 }
  }
  map nat-postrouting-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-in__docker0 }
  }
  map nat-postrouting-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-out__docker0 }
  }
  chain filter-FORWARD {
    type filter hook forward priority filter; policy accept;
    oifname vmap @filter-forward-in-jumps
      iifname vmap @filter-forward-out-jumps
  }
  chain nat-OUTPUT {
    type nat hook output priority dstnat; policy accept;
    ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-POSTROUTING {
    type nat hook postrouting priority srcnat; policy accept;
    iifname vmap @nat-postrouting-out-jumps
      oifname vmap @nat-postrouting-in-jumps
  }
  chain nat-PREROUTING {
    type nat hook prerouting priority dstnat; policy accept;
    fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-prerouting-and-output {
  }
  chain raw-PREROUTING {
    type filter hook prerouting priority raw; policy accept;
  }
  chain filter-forward-in__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      iifname "docker0" counter packets 0 bytes 0 accept comment "ICC"
      counter packets 0 bytes 0 drop comment "UNPUBLISHED PORT DROP"
  }
  chain filter-forward-out__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      counter packets 0 bytes 0 accept comment "OUTGOING"
  }
  chain nat-postrouting-in__docker0 {
  }
  chain nat-postrouting-out__docker0 {
    oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade comment "MASQUERADE"
  }
}

Diese Tabelle richtet NAT-Hooks für Pre- und Postrouting ein, die über Verdict-Maps (Datenstrukturen zur Zuordnung von Aktionen) später dynamisch auf bridge-spezifische Chains weiterleiten können. Für das Standard-Docker-Bridge-Netzwerk (docker0, 172.17.0.0/16) sind bereits Filter-Chains vorbereitet, die etablierte Verbindungen akzeptieren, Inter-Container-Kommunikation erlauben würden und nicht veröffentlichte Ports blocken, sowie eine Masquerading-Regel für ausgehenden Traffic von Containern, damit diese über die Host-IP auf das Internet zugreifen können. Die meisten Chains sind vorerst leer oder inaktiv (nat-prerouting-and-output, raw-PREROUTING, nat-postrouting-in__docker0). Wenn Docker Container ausführt, interne Netzwerk bildet etc., kommen weitere Regeln innerhalb von ip docker-bridges hinzu.

Zusammenspiel mit libvirt/virt-manager

Vor ca. einem halben Jahr bin ich das erste Mal über das nicht mehr funktionierende Zusammenspiel von Docker mit iptables und libvirt mit nftables gestolpert (siehe hier). Zumindest bei meinen oberflächlichen Tests klappt das jetzt: libvirt muss nicht auf iptables zurückgestellt werden sondern kann bei der Defaulteinstellung nftables bleiben. Dafür muss Docker wie in diesem Beitrag beschrieben ebenfalls auf nftables umgestellt werden. Nach einem Neustart (erforderlich, damit alte iptables-Docker-Regeln garantiert entfernt werden!) kooperieren Docker und libvirt so wie sie sollen. libvirt erzeugt für seine Netzwerkfunktionen zwei weitere Regeltabellen:

nft list tables

table inet firewalld
table ip docker-bridges
table ip6 docker-bridges
table ip libvirt_network
table ip6 libvirt_network

Einschränkungen und Fazit

• Die Docker-Dokumentation weist darauf hin, dass das nftables-Backend noch keine Overlay-Regeln erstellt, die für den Betrieb von Docker Swarm notwendig sind. Docker Swarm funktioniert also aktuell nicht, wenn Sie Docker auf nftables umstellen. Für mich ist das kein Problem, weil ich Docker Swarm ohnedies nicht brauche.

• Ich habe meine Tests nur unter Fedora durchgeführt. (Meine Zeit ist auch endlich.) Es ist anzunehmen, dass RHEL plus Klone analog funktionieren, aber das bleibt abzuwarten. Debian + Ubuntu wären auch zu testen …

• Ich habe nur einfache compose-Setups ausprobiert. Natürlich kein produktiver Einsatz.

• Meine nftables- und Firewall-Kenntnisse reichen nicht aus, um eventuelle Sicherheitsimplikationen zu beurteilen, die sich aus der Umstellung von iptables auf nftables ergeben.

Losgelöst von den Docker-spezifischen Problemen zeigt dieser Blog-Beitrag auch, dass das Zusammenspiel mehrerer Programme (firewalld, Docker, libvirt, fail2ban, sonstige Container- und Virtualisierungssysteme), die jeweils ihre eigenen Firewall-Regeln benötigen, alles andere als trivial ist. Es würde mich nicht überraschen, wenn es in naher Zukunft noch mehr unangenehme Überraschungen gäbe, dass also der gleichzeitige Betrieb der Programme A und B zu unerwarteten Sicherheitsproblemen führt. Warten wir es ab …

Insofern ist die Empfehlung, beim produktiven Einsatz von Docker auf dem Host möglichst keine anderen Programme auszuführen, nachvollziehbar. Im Prinzip ist das Konzept ja nicht neu — jeder Dienst (Web, Datenbank, Mail usw.) bekommt möglichst seinen eigenen Server bzw. seine eigene Cloud-Instanz. Für große Firmen mit entsprechender Server-Infrastruktur sollte dies ohnedies selbstverständlich sein. Bei kleineren Server-Installationen ist die Auftrennung aber unbequem und teuer.

Quellen/Links

• https://kofler.info/dockers-nft-inkompatibilitaet-wird-zunehmend-zum-aergernis/
• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://docs.docker.com/engine/network/firewall-nftables/#migrating-from-iptables-to-nftables
• https://docs.docker.com/engine/daemon/
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface