[uanog] AWS private VPC, NAT gateway, ACL... нема доступу в outside world from docker container of docker host.

[Oleh Hrynchuk]

Доброго дня всім,

Шановне панство, маю питання стосовно security policy в private VPC of AWS.

Суть в наступному.

Нам "старші товариші з US" приписали завести одну docker-type аплікуху в
спеціально виділеній private VPC на спеціальному ЕС2.
"Спеціальність" останнього полягає в попередній "заточці" стандартного
Amazon Linux 2 AMI під корпоративні правила безпеки. Зокрема вмиканні там
SeLinux, сетапі спеціальних nftables.rules тощо.

І вийшло так, що ніби все з матюками вдалося зробити (SELinux довелося
вирубати "за згодою сторін") за винятком одного:
email notifications (на порт 587 GMail SMTP) принципово з контейнера не
ходять. А ось із docker host (отого ЕС2) - нормально ходять.
Також неможливо з докер-контейнера (там Ubuntu) виконати оновлення OS (apt
update) - нема доступу назовні.

Враження наступне - з контейнера НЕМА доступу до Інтернета. З docker-хоста
- є.
Ще така фігня, що в контейнері нема найнеобхідніших інструментів для
траблшутинга - навіть ping/traceroute. І не поставиш - apt не має виходу
назовні.
(Ну, тут можна із"їбнутися і підсунути щось в docker volume напряму... ще
ось не пробував так, але спробую).

Підозра падає на NAT Gateway між private VPC та outside world.

Чи хтось з таким стикався і що робити, щоби це а) точно локалізувати; б)
полікувати цю фігню.
Може це якась стандартна фігня, а я не знаю про це?

Дякую.

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20230108/7e23bf3b/attachment.htm>