<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Контейнер і його нетворкінг рулиться хостом by
design.</font></p>
<p><font size="4">Тож контейнер сам відкидаємо. Далі набагато
складніше - це можуть бути outbound ruleset'и на хості (нат,
файрвол), або на external gateway VPC (більш ймовірно).</font></p>
<p><font size="4">Тобто якщо на хості tcpdump -i $ext_if and host
$docker побачиш траф, який виходить з докера (apt update), це
означає, що щось далі.</font></p>
<div class="moz-cite-prefix">On 08/01/23 8:42, Oleh Hrynchuk wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAJWhN-qO81+Oz7MBxhv9YMht=_rpDr3m5xn424BxWrpmkaJkmw@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">Доброго дня всім,<br>
<br>
Шановне панство, маю питання стосовно security policy в private
VPC of AWS.<br>
<br>
Суть в наступному.<br>
<br>
Нам "старші товариші з US" приписали завести одну docker-type
аплікуху в спеціально виділеній private VPC на спеціальному ЕС2.<br>
"Спеціальність" останнього полягає в попередній "заточці"
стандартного Amazon Linux 2 AMI під корпоративні правила
безпеки. Зокрема вмиканні там SeLinux, сетапі спеціальних
nftables.rules тощо.<br>
<br>
І вийшло так, що ніби все з матюками вдалося зробити (SELinux
довелося вирубати "за згодою сторін") за винятком одного:<br>
email notifications (на порт 587 GMail SMTP) принципово з
контейнера не ходять. А ось із docker host (отого ЕС2) -
нормально ходять.<br>
Також неможливо з докер-контейнера (там Ubuntu) виконати
оновлення OS (apt update) - нема доступу назовні.<br>
<br>
Враження наступне - з контейнера НЕМА доступу до Інтернета. З
docker-хоста - є.<br>
Ще така фігня, що в контейнері нема найнеобхідніших інструментів
для траблшутинга - навіть ping/traceroute. І не поставиш - apt
не має виходу назовні.<br>
(Ну, тут можна із"їбнутися і підсунути щось в docker volume
напряму... ще ось не пробував так, але спробую).<br>
<br>
Підозра падає на NAT Gateway між private VPC та outside world.<br>
<br>
Чи хтось з таким стикався і що робити, щоби це а) точно
локалізувати; б) полікувати цю фігню.<br>
Може це якась стандартна фігня, а я не знаю про це?<br>
<br>
Дякую.<br>
<div><br>
</div>
-- <br>
<div dir="ltr" class="gmail_signature"
data-smartmail="gmail_signature">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
<br>
<fieldset class="moz-mime-attachment-header"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</body>
</html>