<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Я б попершу подивився, чи є егресс пакет від
докеру на зовнішньому інтерфейсі вже "заначений", і, що суттєво
- який src ip. Тобто ти робиш apt update, і ця активність
повинна виходити із зовнішнього інтерфейса хоста. Якщо її там
немає, то скоріше за все є богус фільтр на хості. Пакет з
зовнішнього адаптера повинен вийти.<br>
</font></p>
<p><font size="4">Ну а далі питання - він виходить з ip хоста, чи з
ip контейнера. У першому випадку - до VPC gateway йдемо або до
полісі у VPC, у другому (ip контейнера) - треба робити NAT.<br>
</font></p>
<p><font size="4">Не бажаєш tcp proxy поставити на хост ?
Відправляти через нього. Тоді і NAT не треба буде робити на
хості, логгінг активності, усе таке. Секюрна тема :)<br>
</font></p>
On 08/01/23 13:18, Oleh Hrynchuk wrote:<br>
<blockquote type="cite"
cite="mid:CAJWhN-o_+g9Yj8MPdiCWv8q93fOG7UxiuJuGoOQL8rpvZE777w@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">Дякую, колеги.<br>
<br>
Проблема дійсно десь на подальших хопах від docker host.<br>
<br>
tcpdump показує, що запити від контейнера (результат запущеної
там команди *apt update*) покидають зовнішній інтерфейс eth0
docker-хоста. І десь губляться далі (відповіді вже не
приходять).<br>
Буду далі колупатися.<br>
<br>
Причому приватна AWS VPC має адреси 10.х.х.х/24, а docker
network <a href="http://172.17.0.0/16" moz-do-not-send="true">172.17.0.0/16</a>.
Тому mismatching ІР-адрес там не відбувається.<br>
NACL ніби нормально там... ось NAT gateway ще не дивився...<br>
<br>
<br>
<br>
<br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о 12:29
VASYL MELNYK <<a href="mailto:basil@vpm.net.ua"
moz-do-not-send="true" class="moz-txt-link-freetext">basil@vpm.net.ua</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">привіт<br>
<br>
Л2 можна перевірити з хост-системи, просто подивитись
таблицю арп та й пінги в сторону контейнера повинні йти.
Якщо пінги ходять в контейнер, тоді можна встановити на
хост-машині проксі-сервер і вже через нього встановити в
контейнер софт для діагностики.
<div><br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о 08:43
Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">oleh.hrynchuk@gmail.com</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Доброго дня всім,<br>
<br>
Шановне панство, маю питання стосовно security policy в
private VPC of AWS.<br>
<br>
Суть в наступному.<br>
<br>
Нам "старші товариші з US" приписали завести одну
docker-type аплікуху в спеціально виділеній private VPC
на спеціальному ЕС2.<br>
"Спеціальність" останнього полягає в попередній
"заточці" стандартного Amazon Linux 2 AMI під
корпоративні правила безпеки. Зокрема вмиканні там
SeLinux, сетапі спеціальних nftables.rules тощо.<br>
<br>
І вийшло так, що ніби все з матюками вдалося зробити
(SELinux довелося вирубати "за згодою сторін") за
винятком одного:<br>
email notifications (на порт 587 GMail SMTP) принципово
з контейнера не ходять. А ось із docker host (отого ЕС2)
- нормально ходять.<br>
Також неможливо з докер-контейнера (там Ubuntu) виконати
оновлення OS (apt update) - нема доступу назовні.<br>
<br>
Враження наступне - з контейнера НЕМА доступу до
Інтернета. З docker-хоста - є.<br>
Ще така фігня, що в контейнері нема найнеобхідніших
інструментів для траблшутинга - навіть ping/traceroute.
І не поставиш - apt не має виходу назовні.<br>
(Ну, тут можна із"їбнутися і підсунути щось в docker
volume напряму... ще ось не пробував так, але спробую).<br>
<br>
Підозра падає на NAT Gateway між private VPC та outside
world.<br>
<br>
Чи хтось з таким стикався і що робити, щоби це а) точно
локалізувати; б) полікувати цю фігню.<br>
Може це якась стандартна фігня, а я не знаю про це?<br>
<br>
Дякую.<br>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr" class="gmail_signature">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
<br>
<fieldset class="moz-mime-attachment-header"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</body>
</html>