« Rev
@ru_docker   326
Fwd »


Aleksey
угу
Alf 🙀
оно же в европе как минимум. хотите дешевле смотрите на родное
Evgeny
Я понял. Там пробела нет
Alf 🙀
сорри
Sergei
Коллеги, как насовсем, совсем, полностью, без исключений запретить докеру трогать iptables? --ip-forward=false --ip-masq=false --iptables=false - мало.
Evgeny
systemctl disable iptables
Evgeny
Это единственный известный мне способ.
Evgeny
Во всех остальных - он чтото там всё время делает
Sergei
Это единственный известный мне способ.
он не работает так-то, потому что сервис iptables может не присутствовать, а модуль будет загружен. тогда уж надо ядерный модуль блеклистить, но это совсем ад.
Sergei
где у вас сервис иптэйблс не присутствует?
какая разница, если это не решение задачи? в пустой минимальной ubuntu xenial он отсутствует. в убунту он называется вообще iptables-persistent.
Salem
+
Sergei
в убунту ufw который чуть более чем полностью тот же иптэйблс
его нужно ставить, по умолчанию он отсутствует. и это не имеет значения, вопрос не как выключить фаервол, а как запретить докеру его трогать. https://gist.github.com/spuzirev/8e0abb076f89c882b0b53a09685a0964
An7on
подключаетесь docker machin'ой и делаете pull нужных образов из своего registry - профит
Sergei
Это единственный известный мне способ.
по-видимому они неадекватно обрабатывают --ip-masq=false --iptables=false. --iptables=false в одиночестве - работает.
Sergei
# docker version | grep Version Version: 1.13.1
Sergei
перестать трогать никак потому что доккер паблишит порты на этом. никак без нетфильтра
совсем необязательно, потому что существует бездна способов включения контейнеров в сеть не требующих портмаппинга, ната и прочих извращений.
Alf 🙀
а то я пытался вспомнить и мне что то никак
Sergei
а давно "hosts" стал способом подключения контейнеров к сети? :) как бы метод дискаверинга других контейнеров к способу подключения к сети никаким боком отношения не имеет.
Sergei
Sergei
что интересно я должен там прочитать? докер умеет в разные сети. одна из них - дефолтные бриджовые. другие могут быть подключены как плагины. их реализация на откупе разработчиков hosts может быть способом подключения к сети? лолшто? я может быть не так понял, конечно. если так - буду рад услышать то, что "правильно". в общем случае iptables для запуска контейнера необязателен, поэтому ваше утверждение про то что "надо паблишить порты" - тоже неверно. контейнер может получать свой собственный адрес, например. у него может не быть сети совсем. у него может быть сеть, не связанная с внешним миром никак. вариантов миллион и iptables не во всех из них нужен.
Aleksey
А чем именно всем iptables не угодил?
Aleksey
зачем его отключать для докера?
Ilya
Докер байпасит все fw, прямой модификацией iptables.
Sergei
А чем именно всем iptables не угодил?
бывает чуть более сложный роутинг, чем "MASQUERADE для всех и всегда будет достаточно".
Aleksey
это понятно, можно конкретный пример, когда люди вынуждены отключать iptables?
Aleksey
бывает чуть более сложный роутинг, чем "MASQUERADE для всех и всегда будет достаточно".
ну и пусть живут контейнеры в изолированных сеточках
Sergei
это понятно, можно конкретный пример, когда люди вынуждены отключать iptables?
пример такого роутинга? легко. source-адрес, с которого докер-контейнер должен ходить во внешний интернет через NAT находится не на интерфейсе, с которого трафик физически уходит.
Sergei
MASQUERADE в этом случае не работает, нужен SNAT. SNAT делается руками (автоматикой снаружи от докера), но докер настойчиво вставляет свои MASQUERADE.
Aleksey
ip rule не поможет?
Sergei
ip rule не нужен, потому что он про маршрутизацию, а не про маскарадинг.
Aleksey
стоп
Aleksey
роутинг == маршрутизация
Aleksey
вы говорите кастомный роутинг
Sergei
MASQUERADE подменяет сорс-адрес в выходящих из интерфейса пакетов на адрес, висящий на этом интерфейсе. _не_ на тот адрес, который написан в src в маршруте, по которому смаршрутизировался пакет. на следущем хопе пакет дропается вполне ожидаемо.
Aleksey
не - ну у меня по два физ интерфейса на серверах под core и external, как-то желания что там отключать в плане iptables вообще не возникало
Sergei
у вас адрес, с сорсом которого должен уйти трафик, висит на интерфейсе, по которому этот трафик уйдет, так?
Aleksey
да у меня конетейнеры вообще во внешку не ходят. Когда надо уйти - уходят через external
Sergei
неважно, во внешку или не во внешку.
Aleksey
"уйти" - с хоста.
нет - они в одноранговой сети, когда между собой общаются
Aleksey
там натов вообще не надо
Sergei
там натов вообще не надо
да, только билдить без внешнего мира - больно.
Aleksey
ну так билжу я на хост системе
Aleksey
трафик с нее ходит
Sergei
docker build
Aleksey
да
Sergei
и в Dockerfile RUN apt-get update ... либо мы пихаем в контейнер белый адрес, либо где-то есть нат (:
Aleksey
и?
Sergei
ну, естественно, если миррор публичный и вот это все.
Aleksey
чем тут плох нат то?
Sergei
и этот нат не может быть реализован докером в случае, который я описываю.
Sergei
ничем не плох.
Sergei
просто тот нат, который делает докер, отправляет трафик в девнулл
Aleksey
так я и не понял что именно описываете
Aleksey
ну я же билжу как-то
Aleksey
сбилдил
Aleksey
да у докера нат
Sergei
потому что у вас сеть не такая, как у меня, очевидно.
Aleksey
запустил в изолированной сети
Aleksey
дык не только у меня, про отключение iptables я только в этом чате прочитал
Sergei
lo: 127.0.0.1 1.2.3.4 eth0: 10.0.0.2 docker0: 172.16.0.1/16 маршруты: default via 10.0.0.1 dev eth0 src 1.2.3.4 На сетевом оборудовании, соответственно, маршрут 1.2.3.4/32 via 10.0.0.2 когда докер применяет MASQUERADE в такой конфигурации сети, трафик вылетает после ната с source 10.0.0.2, а не 1.2.3.4.
Aleksey
1.2.3.4 весит на lo?
Sergei
да
Aleksey
ну я все равно не понимаю - для чего так делать
Aleksey
с таким же успехом можно жаловаться что соурс адрес у вас не 127.0.0.1
Sergei
с таким же успехом можно жаловаться что соурс адрес у вас не 127.0.0.1
а я не жалуюсь. я всего лишь спросил, как заставить докер не трогать правила.
Aleksey
я не уверен что это вообще возможно :))
Sergei
я-то уверен.
« Rev
@ru_docker   326
Fwd »