<div dir="ltr">привіт<br><br>Л2 можна перевірити з хост-системи, просто подивитись таблицю арп та й пінги в сторону контейнера повинні йти. Якщо пінги ходять в контейнер, тоді можна встановити на хост-машині проксі-сервер і вже через нього встановити в контейнер софт для діагностики.<div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о 08:43 Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com">oleh.hrynchuk@gmail.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Доброго дня всім,<br><br>Шановне панство, маю питання стосовно security policy в private VPC of AWS.<br><br>Суть в наступному.<br><br>Нам "старші товариші з US" приписали завести одну docker-type аплікуху в спеціально виділеній private VPC на спеціальному ЕС2.<br>"Спеціальність" останнього полягає в попередній "заточці" стандартного Amazon Linux 2 AMI під корпоративні правила безпеки. Зокрема вмиканні там SeLinux, сетапі спеціальних nftables.rules тощо.<br><br>І вийшло так, що ніби все з матюками вдалося зробити (SELinux довелося вирубати "за згодою сторін") за винятком одного:<br>email notifications (на порт 587 GMail SMTP) принципово з контейнера не ходять. А ось із docker host (отого ЕС2) - нормально ходять.<br>Також неможливо з докер-контейнера (там Ubuntu) виконати оновлення OS (apt update) - нема доступу назовні.<br><br>Враження наступне - з контейнера НЕМА доступу до Інтернета. З docker-хоста - є.<br>Ще така фігня, що в контейнері нема найнеобхідніших інструментів для траблшутинга - навіть ping/traceroute. І не поставиш - apt не має виходу назовні.<br>(Ну, тут можна із"їбнутися і підсунути щось в docker volume напряму... ще ось не пробував так, але спробую).<br><br>Підозра падає на NAT Gateway між private VPC та outside world.<br><br>Чи хтось з таким стикався і що робити, щоби це а) точно локалізувати; б) полікувати цю фігню.<br>Може це якась стандартна фігня, а я не знаю про це?<br><br>Дякую.<br><div><br></div>-- <br><div dir="ltr"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote></div>