Всё это гонялось на виртуалках.

какой гипервизор? :)

будем выпытывать все, что можно

какой гипервизор? :)

VirtualBox

Алоха, а есть тут те, кто хорошо в lxc/lxd?

Подняты два контейнера, у каждого контейнера есть интрефейс(bridg) config: dns.mode: dynamic ipv4.address: 10.0.0.1/24 ipv4.dhcp.ranges: 10.0.0.100-10.0.0.200 ipv4.nat: "true" ipv6.address: none description: "" name: lxdbr0 type: bridge used_by: - /1.0/containers/develop - /1.0/containers/stage managed: true

Проблема следующая: не получается прокинуть порт с интрефейса с внешним айпи, на порт контейнера

iptables -t nat -A PREROUTING -p tcp --dport 3307 -j DNAT --to-destination 10.0.0.164:3306

Проблема следующая: не получается прокинуть порт с интрефейса с внешним айпи, на порт контейнера

может, я не в теме, но разве можно в работающий контейнер пробросить порт вообще?

потому что в докере нельзя, про lxc я не уверен

Можно

может, я не в теме, но разве можно в работающий контейнер пробросить порт вообще?

можно

root@157701-20002:~# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:3307 to:10.0.0.164:3306 DNAT tcp -- anywhere anywhere tcp dpt:3307 to:10.0.0.164:3306 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 !10.0.0.0/24 /* generated for LXD network lxdbr0 */ MASQUERADE all -- 10.0.3.0/24 !10.0.3.0/24

А с чего ты взял что он не прокинулся?

достучатся не могу

С третьей машины?

Или с гипервизора?

из вне

А правило MASQUERADE есть?

Есть же

С третьей машины?

из вне

Покажи вывод таблицы filter

Т.е. все стандартные вещи сделаны, убрано правило запрещающее форвардинг и включен forwarding в sysctl?

Покажи вывод таблицы filter

https://gist.github.com/wavedocs/a8a85c4893ec114f5806e930db749784

Зачем в forward reject all?

Попробуй убери

Хотя перед ним accept all на tcp

Т.е. все стандартные вещи сделаны, убрано правило запрещающее форвардинг и включен forwarding в sysctl?

root@157701-20002:~# cat /proc/sys/net/ipv4/conf/eth0/forwarding 1

Зачем в forward reject all?

давай попробую)

Ip контейнера верный?

да

Там порт 3306 есть?

Да у тебя правило на reject есть.

root@157701-20002:~# lxc list +------------+---------+-------------------+------+------------+-----------+ | NAME | STATE | IPV4 | IPV6 | TYPE | SNAPSHOTS | +------------+---------+-------------------+------+------------+-----------+ | develop | RUNNING | 10.0.0.164 (eth0) | | PERSISTENT | 0 | +------------+---------+-------------------+------+------------+-----------+ | stage | RUNNING | 10.0.0.163 (eth0) | | PERSISTENT | 0 | +------------+---------+-------------------+------+------------+-----------+

iptables-save покажи.

iptables-save покажи.

https://gist.github.com/wavedocs/b3dd04a6ebab0f32d384aeb0bbdfb958 reject убрал

-A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -m comment --comment "generated for LXD network lxdbr0" -j MASQUERADE -A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE А это тебе зачем?

lxd их сам генерит

Мне кажется с iptables всё норм

Вот оно что, попробуй добавить правило -A POSTROUTING -p tcp -m tcp --dport 3307 -j MASQUERADE

Зачем в postrouting dport?

Там source ip должен быть

Вот оно что, попробуй добавить правило -A POSTROUTING -p tcp -m tcp --dport 3307 -j MASQUERADE

гений!

iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 3306 -j MASQUERADE

вот так!

Надоже

Я вечно путаюсь что туда писать надо.

Если помогло, то отлично.

всю голову сломал(

Но у тебя же было правило маскарадинга по сорсу

Благодарю ребята!

Но ведь оно было

Не туда было, видать. :)

Аа, там походу с dst ip было

На ту же сеть

Аа, там походу с dst ip было

где?

у меня уже эти правила сливаются в глазах)

root@157701-20002:~# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:3307 to:10.0.0.164:3306 DNAT tcp -- anywhere anywhere tcp dpt:3307 to:10.0.0.164:3306 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 !10.0.0.0/24 /* generated for LXD network lxdbr0 */ MASQUERADE all -- 10.0.3.0/24 !10.0.3.0/24

Уот

В самом низу

Покажи сейчас -t nat

так это то, что нагенерил lxd

root@157701-20002:~# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:3307 to:10.0.0.164:3306 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 !10.0.0.0/24 /* generated for LXD network lxdbr0 */ MASQUERADE all -- 10.0.3.0/24 !10.0.3.0/24 MASQUERADE tcp -- anywhere anywhere tcp dpt:3307

Ну да, стоит и src и dst

потому что в докере нельзя, про lxc я не уверен

почему это нельзя?

почему это нельзя?

потому что после того, как ты запустил контейнер с docker run, новых портов ты в него не прокинешь. Или у меня устарелая информация?

Не прокинешь средстави докера, т.е. если не сделал -р во время run

да

а что, извне таки можно?

А фаерволом когда угодно можно сделать

А фаерволом когда угодно можно сделать

о чем я и говорю

прикольно, не знал

а как у тебя с линуксом ваще?

докер это чрут на стероидах, как и все контейнеры

нормально, мог бы и сам допереть, на самом деле

просто думал, там какие-то ограничения хитрые стоят

даже если мы создадим еще ифейс со своим ипом каким-то - все равно внутри контейнера процесс будет биндится к порту и слушать

Чет вы меня оба запутали

даже если мы создадим еще ифейс со своим ипом каким-то - все равно внутри контейнера процесс будет биндится к порту и слушать

да эт понятно, docker0, бридж, неймспейсы, вся пежня

просто думал, там какие-то ограничения хитрые стоят

можно ограничить бинд к портам, да. но это какая-то залупа :)

нормально, мог бы и сам допереть, на самом деле

это все потому что ты смотришь на линукс глазами докера, а должен смотреть на докер глазами линукса

это все потому что ты смотришь на линукс глазами докера, а должен смотреть на докер глазами линукса

я докер вообще долго не признавал и считал говнищем

мол, сраный чрут с сигруппами, чего там такого, что все кипятком ссут

я докер вообще долго не признавал и считал говнищем

дык ничего не поменялось %)

дык ничего не поменялось %)

ну как, теперь вместо lxc там libcontainer

в остальном я по-прежнему против того, чтобы в продакшен деплоить в контейнерах что-то, смотрящее в большой интернет

но всем похер и все все равно это делают

ну как, теперь вместо lxc там libcontainer

великая разница, угу

логично

у нас кубернетес сейчас в основе всего

но всем похер и все все равно это делают

Хайп гробит всё к чему прикасается