<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Скоріше за все так і є. Але питання починалося з
"секюрного сетапа".<br>
Наприклад файрвол з чекінгом TTL, або закритий файрвол на VPC
ext gateway. <br>
</font></p>
<p><font size="4">Коли це фінансова установа - це джентльменський
набір трапів для IDS.<br>
</font></p>
<div class="moz-cite-prefix">On 12/01/23 15:00, Oleksandr Moskalenko
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CACVfVFuU1XLYYOqmo30vEa7jUrqOmk+HfuMdPtCzUCR2jsa1Ew@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div>Привет</div>
<div><br>
</div>
<div>Компоненты AWS тут вообще не при чем, дело в сети на самом
хосте. У докера есть несколько режимов, у тебя скорее всего
Bridge, для него нужно включать форвардинг на хосте, я бы
начал с него.</div>
<div><br>
</div>
<div>PS: Идеология контейнеризации не подразумевает обновления
ОС и других компонентов в процессе работы и рекомендуется ФС
делать readonly</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Sun, Jan 8, 2023 at 1:07
PM Volodymyr Sharun <<a href="mailto:atz@ukr.net"
moz-do-not-send="true" class="moz-txt-link-freetext">atz@ukr.net</a>>
wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<div>
<p><font size="4">Привіт,</font></p>
<p><font size="4">Я б попершу подивився, чи є егресс пакет
від докеру на зовнішньому інтерфейсі вже "заначений",
і, що суттєво - який src ip. Тобто ти робиш apt
update, і ця активність повинна виходити із
зовнішнього інтерфейса хоста. Якщо її там немає, то
скоріше за все є богус фільтр на хості. Пакет з
зовнішнього адаптера повинен вийти.<br>
</font></p>
<p><font size="4">Ну а далі питання - він виходить з ip
хоста, чи з ip контейнера. У першому випадку - до VPC
gateway йдемо або до полісі у VPC, у другому (ip
контейнера) - треба робити NAT.<br>
</font></p>
<p><font size="4">Не бажаєш tcp proxy поставити на хост ?
Відправляти через нього. Тоді і NAT не треба буде
робити на хості, логгінг активності, усе таке. Секюрна
тема :)<br>
</font></p>
On 08/01/23 13:18, Oleh Hrynchuk wrote:<br>
<blockquote type="cite">
<div dir="ltr">Дякую, колеги.<br>
<br>
Проблема дійсно десь на подальших хопах від docker
host.<br>
<br>
tcpdump показує, що запити від контейнера (результат
запущеної там команди *apt update*) покидають
зовнішній інтерфейс eth0 docker-хоста. І десь
губляться далі (відповіді вже не приходять).<br>
Буду далі колупатися.<br>
<br>
Причому приватна AWS VPC має адреси 10.х.х.х/24, а
docker network <a href="http://172.17.0.0/16"
target="_blank" moz-do-not-send="true">172.17.0.0/16</a>.
Тому mismatching ІР-адрес там не відбувається.<br>
NACL ніби нормально там... ось NAT gateway ще не
дивився...<br>
<br>
<br>
<br>
<br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023 р. о
12:29 VASYL MELNYK <<a
href="mailto:basil@vpm.net.ua" target="_blank"
moz-do-not-send="true"
class="moz-txt-link-freetext">basil@vpm.net.ua</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px
0px
0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<div dir="ltr">привіт<br>
<br>
Л2 можна перевірити з хост-системи, просто
подивитись таблицю арп та й пінги в сторону
контейнера повинні йти. Якщо пінги ходять в
контейнер, тоді можна встановити на хост-машині
проксі-сервер і вже через нього встановити в
контейнер софт для діагностики.
<div><br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">нд, 8 січ. 2023
р. о 08:43 Oleh Hrynchuk <<a
href="mailto:oleh.hrynchuk@gmail.com"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">oleh.hrynchuk@gmail.com</a>>
пише:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px
0px 0px
0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Доброго дня всім,<br>
<br>
Шановне панство, маю питання стосовно security
policy в private VPC of AWS.<br>
<br>
Суть в наступному.<br>
<br>
Нам "старші товариші з US" приписали завести
одну docker-type аплікуху в спеціально
виділеній private VPC на спеціальному ЕС2.<br>
"Спеціальність" останнього полягає в
попередній "заточці" стандартного Amazon Linux
2 AMI під корпоративні правила безпеки.
Зокрема вмиканні там SeLinux, сетапі
спеціальних nftables.rules тощо.<br>
<br>
І вийшло так, що ніби все з матюками вдалося
зробити (SELinux довелося вирубати "за згодою
сторін") за винятком одного:<br>
email notifications (на порт 587 GMail SMTP)
принципово з контейнера не ходять. А ось із
docker host (отого ЕС2) - нормально ходять.<br>
Також неможливо з докер-контейнера (там
Ubuntu) виконати оновлення OS (apt update) -
нема доступу назовні.<br>
<br>
Враження наступне - з контейнера НЕМА доступу
до Інтернета. З docker-хоста - є.<br>
Ще така фігня, що в контейнері нема
найнеобхідніших інструментів для траблшутинга
- навіть ping/traceroute. І не поставиш - apt
не має виходу назовні.<br>
(Ну, тут можна із"їбнутися і підсунути щось в
docker volume напряму... ще ось не пробував
так, але спробую).<br>
<br>
Підозра падає на NAT Gateway між private VPC
та outside world.<br>
<br>
Чи хтось з таким стикався і що робити, щоби це
а) точно локалізувати; б) полікувати цю фігню.<br>
Може це якась стандартна фігня, а я не знаю
про це?<br>
<br>
Дякую.<br>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank"
moz-do-not-send="true"
class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</blockquote>
</div>
<br clear="all">
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">
<div>Regards,<br>
/oleh hrynchuk</div>
</div>
</div>
<br>
<fieldset></fieldset>
<pre>_______________________________________________
uanog mailing list
<a href="mailto:uanog@uanog.kiev.ua" target="_blank" moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank" moz-do-not-send="true" class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</blockquote>
</div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">uanog@uanog.kiev.ua</a><br>
<a
href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer" target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
</div>
</div>
</blockquote>
</body>
</html>