<div dir="ltr">Привіт всім.<br><br>ну, таку штуку я ще здатен передбачити...<br><br><img src="cid:ii_lct5fhna0" alt="image.png" width="523" height="523"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 12 січ. 2023 р. о 15:00 Oleksandr Moskalenko <<a href="mailto:alexander.moskalenko@gmail.com">alexander.moskalenko@gmail.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Привет</div><div><br></div><div>Компоненты AWS тут вообще не при чем, дело в сети на самом хосте. У докера есть несколько режимов, у тебя скорее всего Bridge, для него нужно включать форвардинг на хосте, я бы начал с него.</div><div><br></div><div>PS: Идеология контейнеризации не подразумевает обновления ОС и других компонентов в процессе работы и рекомендуется ФС делать readonly</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jan 8, 2023 at 1:07 PM Volodymyr Sharun <<a href="mailto:atz@ukr.net" target="_blank">atz@ukr.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Я б попершу подивився, чи є егресс пакет від
докеру на зовнішньому інтерфейсі вже "заначений", і, що суттєво
- який src ip. Тобто ти робиш apt update, і ця активність
повинна виходити із зовнішнього інтерфейса хоста. Якщо її там
немає, то скоріше за все є богус фільтр на хості. Пакет з
зовнішнього адаптера повинен вийти.<br>
</font></p>
<p><font size="4">Ну а далі питання - він виходить з ip хоста, чи з
ip контейнера. У першому випадку - до VPC gateway йдемо або до
полісі у VPC, у другому (ip контейнера) - треба робити NAT.<br>
</font></p>
<p><font size="4">Не бажаєш tcp proxy поставити на хост ?
Відправляти через нього. Тоді і NAT не треба буде робити на
хості, логгінг активності, усе таке. Секюрна тема :)<br>
</font></p>
On 08/01/23 13:18, Oleh Hrynchuk wrote:<br>
<blockquote type="cite">
<div dir="ltr">Дякую, колеги.<br>
<br>
Проблема дійсно десь на подальших хопах від docker host.<br>
<br>
tcpdump показує, що запити від контейнера (результат запущеної
там команди *apt update*) покидають зовнішній інтерфейс eth0
docker-хоста. І десь губляться далі (відповіді вже не
приходять).<br>
Буду далі колупатися.<br>
<br>
Причому приватна AWS VPC має адреси 10.х.х.х/24, а docker
network <a href="http://172.17.0.0/16" target="_blank">172.17.0.0/16</a>.
Тому mismatching ІР-адрес там не відбувається.<br>
NACL ніби нормально там... ось NAT gateway ще не дивився...<br>
<br>
<br>
<br>
<br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о 12:29
VASYL MELNYK <<a href="mailto:basil@vpm.net.ua" target="_blank">basil@vpm.net.ua</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">привіт<br>
<br>
Л2 можна перевірити з хост-системи, просто подивитись
таблицю арп та й пінги в сторону контейнера повинні йти.
Якщо пінги ходять в контейнер, тоді можна встановити на
хост-машині проксі-сервер і вже через нього встановити в
контейнер софт для діагностики.
<div><br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о 08:43
Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Доброго дня всім,<br>
<br>
Шановне панство, маю питання стосовно security policy в
private VPC of AWS.<br>
<br>
Суть в наступному.<br>
<br>
Нам "старші товариші з US" приписали завести одну
docker-type аплікуху в спеціально виділеній private VPC
на спеціальному ЕС2.<br>
"Спеціальність" останнього полягає в попередній
"заточці" стандартного Amazon Linux 2 AMI під
корпоративні правила безпеки. Зокрема вмиканні там
SeLinux, сетапі спеціальних nftables.rules тощо.<br>
<br>
І вийшло так, що ніби все з матюками вдалося зробити
(SELinux довелося вирубати "за згодою сторін") за
винятком одного:<br>
email notifications (на порт 587 GMail SMTP) принципово
з контейнера не ходять. А ось із docker host (отого ЕС2)
- нормально ходять.<br>
Також неможливо з докер-контейнера (там Ubuntu) виконати
оновлення OS (apt update) - нема доступу назовні.<br>
<br>
Враження наступне - з контейнера НЕМА доступу до
Інтернета. З docker-хоста - є.<br>
Ще така фігня, що в контейнері нема найнеобхідніших
інструментів для траблшутинга - навіть ping/traceroute.
І не поставиш - apt не має виходу назовні.<br>
(Ну, тут можна із"їбнутися і підсунути щось в docker
volume напряму... ще ось не пробував так, але спробую).<br>
<br>
Підозра падає на NAT Gateway між private VPC та outside
world.<br>
<br>
Чи хтось з таким стикався і що робити, щоби це а) точно
локалізувати; б) полікувати цю фігню.<br>
Може це якась стандартна фігня, а я не знаю про це?<br>
<br>
Дякую.<br>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
<br>
<fieldset></fieldset>
<pre>_______________________________________________
uanog mailing list
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote></div></div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div>