[uanog] AWS private VPC, NAT gateway, ACL... нема доступу в outside world from docker container of docker host.
Volodymyr Sharun
atz at ukr.net
Sun Jan 8 10:15:38 EET 2023
Привіт,
Контейнер і його нетворкінг рулиться хостом by design.
Тож контейнер сам відкидаємо. Далі набагато складніше - це можуть бути
outbound ruleset'и на хості (нат, файрвол), або на external gateway VPC
(більш ймовірно).
Тобто якщо на хості tcpdump -i $ext_if and host $docker побачиш траф,
який виходить з докера (apt update), це означає, що щось далі.
On 08/01/23 8:42, Oleh Hrynchuk wrote:
> Доброго дня всім,
>
> Шановне панство, маю питання стосовно security policy в private VPC of
> AWS.
>
> Суть в наступному.
>
> Нам "старші товариші з US" приписали завести одну docker-type аплікуху
> в спеціально виділеній private VPC на спеціальному ЕС2.
> "Спеціальність" останнього полягає в попередній "заточці" стандартного
> Amazon Linux 2 AMI під корпоративні правила безпеки. Зокрема вмиканні
> там SeLinux, сетапі спеціальних nftables.rules тощо.
>
> І вийшло так, що ніби все з матюками вдалося зробити (SELinux довелося
> вирубати "за згодою сторін") за винятком одного:
> email notifications (на порт 587 GMail SMTP) принципово з контейнера
> не ходять. А ось із docker host (отого ЕС2) - нормально ходять.
> Також неможливо з докер-контейнера (там Ubuntu) виконати оновлення OS
> (apt update) - нема доступу назовні.
>
> Враження наступне - з контейнера НЕМА доступу до Інтернета. З
> docker-хоста - є.
> Ще така фігня, що в контейнері нема найнеобхідніших інструментів для
> траблшутинга - навіть ping/traceroute. І не поставиш - apt не має
> виходу назовні.
> (Ну, тут можна із"їбнутися і підсунути щось в docker volume напряму...
> ще ось не пробував так, але спробую).
>
> Підозра падає на NAT Gateway між private VPC та outside world.
>
> Чи хтось з таким стикався і що робити, щоби це а) точно локалізувати;
> б) полікувати цю фігню.
> Може це якась стандартна фігня, а я не знаю про це?
>
> Дякую.
>
> --
> Regards,
> /oleh hrynchuk
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20230108/b4afefc2/attachment.htm>
More information about the uanog
mailing list