<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Форвардінг у широкому сенсі (NAT, firewall, FIBs)</font></p>
<p><font size="4">Доречі може так бути що кожний namespace (читай -
контейнер) має свою FIB, яка коннектед із бриджем, але дефолту
немає.</font></p>
<p><font size="4">Тому дофіга варіантів на хості і перше, що дасть
відповідь у методі вирішення проблем "ділення на два" - це чи є
егресс пакет на зовнішньому інтерфейсі хоста, який породжується
apt update'ом в контейнері.<br>
</font></p>
<div class="moz-cite-prefix">On 12/01/23 15:51, Oleh Hrynchuk wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAJWhN-pMb1TX90ZSUxqten3SpWyjQ_QC1wabLeJ6KBvepHRMWA@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">Привіт всім.<br>
<br>
ну, таку штуку я ще здатен передбачити...<br>
<br>
<img src="cid:part1.7Bd7cXsB.nyI39xVB@ukr.net" alt="image.png"
class="" width="523" height="523"><br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">чт, 12 січ. 2023 р. о 15:00
Oleksandr Moskalenko <<a
href="mailto:alexander.moskalenko@gmail.com"
moz-do-not-send="true" class="moz-txt-link-freetext">alexander.moskalenko@gmail.com</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">
<div>Привет</div>
<div><br>
</div>
<div>Компоненты AWS тут вообще не при чем, дело в сети на
самом хосте. У докера есть несколько режимов, у тебя
скорее всего Bridge, для него нужно включать форвардинг на
хосте, я бы начал с него.</div>
<div><br>
</div>
<div>PS: Идеология контейнеризации не подразумевает
обновления ОС и других компонентов в процессе работы и
рекомендуется ФС делать readonly</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Sun, Jan 8, 2023 at
1:07 PM Volodymyr Sharun <<a
href="mailto:atz@ukr.net" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">atz@ukr.net</a>>
wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Я б попершу подивився, чи є егресс
пакет від докеру на зовнішньому інтерфейсі вже
"заначений", і, що суттєво - який src ip. Тобто ти
робиш apt update, і ця активність повинна виходити
із зовнішнього інтерфейса хоста. Якщо її там
немає, то скоріше за все є богус фільтр на хості.
Пакет з зовнішнього адаптера повинен вийти.<br>
</font></p>
<p><font size="4">Ну а далі питання - він виходить з
ip хоста, чи з ip контейнера. У першому випадку -
до VPC gateway йдемо або до полісі у VPC, у
другому (ip контейнера) - треба робити NAT.<br>
</font></p>
<p><font size="4">Не бажаєш tcp proxy поставити на
хост ? Відправляти через нього. Тоді і NAT не
треба буде робити на хості, логгінг активності,
усе таке. Секюрна тема :)<br>
</font></p>
On 08/01/23 13:18, Oleh Hrynchuk wrote:<br>
<blockquote type="cite">
<div dir="ltr">Дякую, колеги.<br>
<br>
Проблема дійсно десь на подальших хопах від docker
host.<br>
<br>
tcpdump показує, що запити від контейнера
(результат запущеної там команди *apt update*)
покидають зовнішній інтерфейс eth0 docker-хоста. І
десь губляться далі (відповіді вже не приходять).<br>
Буду далі колупатися.<br>
<br>
Причому приватна AWS VPC має адреси 10.х.х.х/24, а
docker network <a href="http://172.17.0.0/16"
target="_blank" moz-do-not-send="true">172.17.0.0/16</a>.
Тому mismatching ІР-адрес там не відбувається.<br>
NACL ніби нормально там... ось NAT gateway ще не
дивився...<br>
<br>
<br>
<br>
<br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023
р. о 12:29 VASYL MELNYK <<a
href="mailto:basil@vpm.net.ua" target="_blank"
moz-do-not-send="true"
class="moz-txt-link-freetext">basil@vpm.net.ua</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px
0px 0px 0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div dir="ltr">привіт<br>
<br>
Л2 можна перевірити з хост-системи, просто
подивитись таблицю арп та й пінги в сторону
контейнера повинні йти. Якщо пінги ходять в
контейнер, тоді можна встановити на
хост-машині проксі-сервер і вже через нього
встановити в контейнер софт для діагностики.
<div><br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ.
2023 р. о 08:43 Oleh Hrynchuk <<a
href="mailto:oleh.hrynchuk@gmail.com"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">oleh.hrynchuk@gmail.com</a>>
пише:<br>
</div>
<blockquote class="gmail_quote"
style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Доброго дня всім,<br>
<br>
Шановне панство, маю питання стосовно
security policy в private VPC of AWS.<br>
<br>
Суть в наступному.<br>
<br>
Нам "старші товариші з US" приписали
завести одну docker-type аплікуху в
спеціально виділеній private VPC на
спеціальному ЕС2.<br>
"Спеціальність" останнього полягає в
попередній "заточці" стандартного Amazon
Linux 2 AMI під корпоративні правила
безпеки. Зокрема вмиканні там SeLinux,
сетапі спеціальних nftables.rules тощо.<br>
<br>
І вийшло так, що ніби все з матюками
вдалося зробити (SELinux довелося вирубати
"за згодою сторін") за винятком одного:<br>
email notifications (на порт 587 GMail
SMTP) принципово з контейнера не ходять. А
ось із docker host (отого ЕС2) - нормально
ходять.<br>
Також неможливо з докер-контейнера (там
Ubuntu) виконати оновлення OS (apt update)
- нема доступу назовні.<br>
<br>
Враження наступне - з контейнера НЕМА
доступу до Інтернета. З docker-хоста - є.<br>
Ще така фігня, що в контейнері нема
найнеобхідніших інструментів для
траблшутинга - навіть ping/traceroute. І
не поставиш - apt не має виходу назовні.<br>
(Ну, тут можна із"їбнутися і підсунути
щось в docker volume напряму... ще ось не
пробував так, але спробую).<br>
<br>
Підозра падає на NAT Gateway між private
VPC та outside world.<br>
<br>
Чи хтось з таким стикався і що робити,
щоби це а) точно локалізувати; б)
полікувати цю фігню.<br>
Може це якась стандартна фігня, а я не
знаю про це?<br>
<br>
Дякую.<br>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank"
moz-do-not-send="true"
class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
<br>
<fieldset></fieldset>
<pre>_______________________________________________
uanog mailing list
<a href="mailto:uanog@uanog.kiev.ua" target="_blank" moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank" moz-do-not-send="true" class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr" class="gmail_signature">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</blockquote>
</body>
</html>