[uanog] AWS private VPC, NAT gateway, ACL... нема доступу в outside world from docker container of docker host.

Volodymyr Sharun atz at ukr.net
Thu Jan 12 15:15:47 EET 2023 

Привіт,

Скоріше за все так і є. Але питання починалося з "секюрного сетапа".
Наприклад файрвол з чекінгом TTL, або закритий файрвол на VPC ext gateway.

Коли це фінансова установа - це джентльменський набір трапів для IDS.

On 12/01/23 15:00, Oleksandr Moskalenko wrote:
> Привет
>
> Компоненты AWS тут вообще не при чем, дело в сети на самом хосте. У 
> докера есть несколько режимов, у тебя скорее всего Bridge, для него 
> нужно включать форвардинг на хосте, я бы начал с него.
>
> PS: Идеология контейнеризации не подразумевает обновления ОС и других 
> компонентов в процессе работы и рекомендуется ФС делать readonly
>
> On Sun, Jan 8, 2023 at 1:07 PM Volodymyr Sharun <atz at ukr.net> wrote:
>
>     Привіт,
>
>     Я б попершу подивився, чи є егресс пакет від докеру на зовнішньому
>     інтерфейсі вже "заначений", і, що суттєво - який src ip. Тобто ти
>     робиш apt update, і ця активність повинна виходити із зовнішнього
>     інтерфейса хоста. Якщо її там немає, то скоріше за все є богус
>     фільтр на хості. Пакет з зовнішнього адаптера повинен вийти.
>
>     Ну а далі питання - він виходить з ip хоста, чи з ip контейнера. У
>     першому випадку - до VPC gateway йдемо або до полісі у VPC, у
>     другому (ip контейнера) - треба робити NAT.
>
>     Не бажаєш tcp proxy поставити на хост ? Відправляти через нього.
>     Тоді і NAT не треба буде робити на хості, логгінг активності, усе
>     таке. Секюрна тема :)
>
>     On 08/01/23 13:18, Oleh Hrynchuk wrote:
>>     Дякую, колеги.
>>
>>     Проблема дійсно десь на подальших хопах від docker host.
>>
>>     tcpdump показує, що запити від контейнера (результат запущеної
>>     там команди *apt update*) покидають зовнішній інтерфейс eth0
>>     docker-хоста. І десь губляться далі (відповіді вже не приходять).
>>     Буду далі колупатися.
>>
>>     Причому приватна AWS VPC має адреси 10.х.х.х/24, а docker network
>>     172.17.0.0/16 <http://172.17.0.0/16>. Тому mismatching ІР-адрес
>>     там не відбувається.
>>     NACL ніби нормально там... ось NAT gateway ще не дивився...
>>
>>
>>
>>
>>
>>     нд, 8 січ. 2023 р. о 12:29 VASYL MELNYK <basil at vpm.net.ua> пише:
>>
>>         привіт
>>
>>         Л2 можна перевірити з хост-системи, просто подивитись таблицю
>>         арп та й пінги в сторону контейнера повинні йти. Якщо пінги
>>         ходять в контейнер, тоді можна встановити на хост-машині
>>         проксі-сервер і вже через нього встановити в контейнер софт
>>         для діагностики.
>>
>>
>>         нд, 8 січ. 2023 р. о 08:43 Oleh Hrynchuk
>>         <oleh.hrynchuk at gmail.com> пише:
>>
>>             Доброго дня всім,
>>
>>             Шановне панство, маю питання стосовно security policy в
>>             private VPC of AWS.
>>
>>             Суть в наступному.
>>
>>             Нам "старші товариші з US" приписали завести одну
>>             docker-type аплікуху в спеціально виділеній private VPC
>>             на спеціальному ЕС2.
>>             "Спеціальність" останнього полягає в попередній "заточці"
>>             стандартного Amazon Linux 2 AMI під корпоративні правила
>>             безпеки. Зокрема вмиканні там SeLinux, сетапі спеціальних
>>             nftables.rules тощо.
>>
>>             І вийшло так, що ніби все з матюками вдалося зробити
>>             (SELinux довелося вирубати "за згодою сторін") за
>>             винятком одного:
>>             email notifications (на порт 587 GMail SMTP) принципово з
>>             контейнера не ходять. А ось із docker host (отого ЕС2) -
>>             нормально ходять.
>>             Також неможливо з докер-контейнера (там Ubuntu) виконати
>>             оновлення OS (apt update) - нема доступу назовні.
>>
>>             Враження наступне - з контейнера НЕМА доступу до
>>             Інтернета. З docker-хоста - є.
>>             Ще така фігня, що в контейнері нема найнеобхідніших
>>             інструментів для траблшутинга - навіть ping/traceroute. І
>>             не поставиш - apt не має виходу назовні.
>>             (Ну, тут можна із"їбнутися і підсунути щось в docker
>>             volume напряму... ще ось не пробував так, але спробую).
>>
>>             Підозра падає на NAT Gateway між private VPC та outside
>>             world.
>>
>>             Чи хтось з таким стикався і що робити, щоби це а) точно
>>             локалізувати; б) полікувати цю фігню.
>>             Може це якась стандартна фігня, а я не знаю про це?
>>
>>             Дякую.
>>
>>             -- 
>>             Regards,
>>             /oleh hrynchuk
>>             _______________________________________________
>>             uanog mailing list
>>             uanog at uanog.kiev.ua
>>             https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>>
>>
>>     -- 
>>     Regards,
>>     /oleh hrynchuk
>>
>>     _______________________________________________
>>     uanog mailing list
>>     uanog at uanog.kiev.ua
>>     https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>     _______________________________________________
>     uanog mailing list
>     uanog at uanog.kiev.ua
>     https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20230112/8801bdd0/attachment-0001.htm>

More information about the uanog mailing list