
<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p><font size="4">Привіт,</font></p>

    <p><font size="4">Контейнер і його нетворкінг рулиться хостом by

        design.</font></p>

    <p><font size="4">Тож контейнер сам відкидаємо. Далі набагато

        складніше - це можуть бути outbound ruleset'и на хості (нат,

        файрвол), або на external gateway VPC (більш ймовірно).</font></p>

    <p><font size="4">Тобто якщо на хості tcpdump -i $ext_if and host

        $docker побачиш траф, який виходить з докера (apt update), це

        означає, що щось далі.</font></p>

    <div class="moz-cite-prefix">On 08/01/23 8:42, Oleh Hrynchuk wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:CAJWhN-qO81+Oz7MBxhv9YMht=_rpDr3m5xn424BxWrpmkaJkmw@mail.gmail.com">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <div dir="ltr">Доброго дня всім,<br>

        <br>

        Шановне панство, маю питання стосовно security policy в private

        VPC of AWS.<br>

        <br>

        Суть в наступному.<br>

        <br>

        Нам "старші товариші з US" приписали завести одну docker-type

        аплікуху в спеціально виділеній private VPC на спеціальному ЕС2.<br>

        "Спеціальність" останнього полягає в попередній "заточці"

        стандартного Amazon Linux 2 AMI під корпоративні правила

        безпеки. Зокрема вмиканні там SeLinux, сетапі спеціальних

        nftables.rules тощо.<br>

        <br>

        І вийшло так, що ніби все з матюками вдалося зробити (SELinux

        довелося вирубати "за згодою сторін") за винятком одного:<br>

        email notifications (на порт 587 GMail SMTP) принципово з

        контейнера не ходять. А ось із docker host (отого ЕС2) -

        нормально ходять.<br>

        Також неможливо з докер-контейнера (там Ubuntu) виконати

        оновлення OS (apt update) - нема доступу назовні.<br>

        <br>

        Враження наступне - з контейнера НЕМА доступу до Інтернета. З

        docker-хоста - є.<br>

        Ще така фігня, що в контейнері нема найнеобхідніших інструментів

        для траблшутинга - навіть ping/traceroute. І не поставиш - apt

        не має виходу назовні.<br>

        (Ну, тут можна із"їбнутися і підсунути щось в docker volume

        напряму... ще ось не пробував так, але спробую).<br>

        <br>

        Підозра падає на NAT Gateway між private VPC та outside world.<br>

        <br>

        Чи хтось з таким стикався і що робити, щоби це а) точно

        локалізувати; б) полікувати цю фігню.<br>

        Може це якась стандартна фігня, а я не знаю про це?<br>

        <br>

        Дякую.<br>

        <div><br>

        </div>

        -- <br>

        <div dir="ltr" class="gmail_signature"

          data-smartmail="gmail_signature">

          <div dir="ltr">

            <div>Regards,<br>

              /oleh hrynchuk</div>

          </div>

        </div>

      </div>

      <br>

      <fieldset class="moz-mime-attachment-header"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

uanog mailing list

<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>

<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>

</pre>

    </blockquote>

  </body>

</html>