อนุญาตให้คอนเทนเนอร์นักเทียบท่าบนเครือข่ายบริดจ์เชื่อมต่อกับโฮสต์โดยใช้ iptables

Lennart

11/6/23 05:12

ฉันเพิ่งลองใช้ iptables เพื่อเปิดเผยพอร์ตที่เกี่ยวข้องเท่านั้น ฉันกำลังยกเลิกทุกการเชื่อมต่อที่เข้ามาโดยใช้ iptables -P อินพุตลดลง และอนุญาตให้เข้าถึงพอร์ตที่เกี่ยวข้องในภายหลัง สิ่งนี้ใช้งานได้ แต่หยุดการตั้งค่า haproxy ของฉันด้วยเว็บเซิร์ฟเวอร์ที่ทำงานในคอนเทนเนอร์นักเทียบท่า ขณะนี้คอนเทนเนอร์ไม่สามารถเชื่อมต่อกับเครือข่ายโฮสต์ได้ ฉันพยายามอนุญาตให้คอนเทนเนอร์นักเทียบท่าเชื่อมต่อกับโฮสต์โดยใช้

Iptables -A INPUT -i docker0 -j ยอมรับ

แต่ไม่ได้ผลและเว็บเซิร์ฟเวอร์ยังไม่สามารถตอบสนองต่อ haproxy ได้ ฉันขอขอบคุณสำหรับความคิดใด ๆ เกี่ยวกับวิธีการแก้ไขปัญหานี้และอนุญาตให้คอนเทนเนอร์เชื่อมต่อกับโฮสต์อีกครั้ง

163

0 + 0

iptables

นักเทียบท่า

Score:0

Server

Cameron

12/6/23 01:09

ฉันไม่รู้อะไรมากเกี่ยวกับเว็บเซิร์ฟเวอร์หรือ HAProxy แต่ฉันสามารถให้คำแนะนำเกี่ยวกับ IPtables แก่คุณได้ และจากนั้นตอบคำถามของคุณ

IPtables อ่านกฎจากบนลงล่างและหยุดอ่านกฎเมื่อถึง DROP, REJECT หรือ ACCEPT
IPtables คำนึงถึงขนาดตัวพิมพ์ ยอมรับ ไม่เหมือนกับ ยอมรับ
นโยบาย IPtables -ป ใช้เมื่อไม่มีกฎอื่นใดในตารางที่ใช้กับแพ็กเก็ตที่กำหนด
ตรวจสอบให้แน่ใจว่าเมื่อคุณเพิ่มกฎ IPtables ใหม่ คุณกำลังล้างกฎเก่าออกโดยการป้อน iptables -t ตัวกรอง -F แล้ว iptables -t ตัวกรอง -X. คำสั่งทั้งสองนี้จะล้างตารางตัวกรอง (ตารางเริ่มต้น) และล้างข้อมูลย่อยในตารางด้วย
ตรวจสอบให้แน่ใจว่ากฎบนไคลเอนต์มีผลกับโฮสต์และตรวจสอบให้แน่ใจว่ากฎบนโฮสต์มีผลกับไคลเอนต์

เพื่อตอบคำถามของคุณ...

ขั้นแรก ให้ลองล้างไฟร์วอลล์ของคุณโดยสมบูรณ์โดยเรียกใช้คำสั่งเหล่านี้เพื่อล้างตารางทั้งหมดใน IPtables:

iptables -t ดิบ -F
iptables -t mangle -F
iptables -t แนท -F
iptables -t ตัวกรอง -F
iptables -t ดิบ -X
iptables -t mangle -X
iptables -t แนท -X
iptables -t ตัวกรอง -X

จากนั้นตรวจสอบให้แน่ใจว่าไม่มีไฟร์วอลล์อื่นทำงานอยู่

CentOS/Fedora/Rhel:

systemctl หยุดไฟร์วอลล์

เดเบียน/อูบุนตู:

systemctl หยุด ufw

จากนั้นทำการทดสอบ HAProxy ทำงานได้หรือไม่ หากใช้งานได้ แสดงว่าปัญหาของคุณคือไฟร์วอลล์ ถ้ามันไม่ ไม่ คุณต้องแก้ไขกฎ IPtables ของคุณอาจเริ่มต้นด้วยการทำให้กฎ IPtables ของคุณไม่เฉพาะเจาะจงมากที่สุดเท่าที่จะเป็นไปได้ แล้วจึงเจาะจงมากขึ้นเรื่อยๆ นี่คือคำแนะนำของฉันในการเริ่มต้น:

ตรวจสอบให้แน่ใจว่าเปิดใช้งานการรับส่งข้อมูลย้อนกลับบนเซิร์ฟเวอร์ การรับส่งข้อมูลย้อนกลับไม่เคยออกจากเซิร์ฟเวอร์:

iptables -t filter -A INPUT -i lo -j ยอมรับ

ลองอนุญาต IP ของเซิร์ฟเวอร์ HAProxy แทนพอร์ต:

iptables -t filter -A INPUT -s ${HAPROXY_IP} -j ยอมรับ

อนุญาต ที่จัดตั้งขึ้น และ ที่เกี่ยวข้อง การเชื่อมต่อ:

iptables -t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ยอมรับ

0 + 0

A.B

12/6/23 07:46

หากต้องการล้างกฎ ต้องตั้งค่านโยบายให้ยอมรับก่อน (`-P ACCEPT`) มิฉะนั้นการเชื่อมต่อจะขาดหาย

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Allow docker containers on the bridge network to connect to the host using iptables

TH: อนุญาตให้คอนเทนเนอร์นักเทียบท่าบนเครือข่ายบริดจ์เชื่อมต่อกับโฮสต์โดยใช้ iptables

RO: Permiteți containerelor docker din rețeaua bridge să se conecteze la gazdă folosind iptables

RU: Разрешить док-контейнерам в сети моста подключаться к хосту с помощью iptables

VI: Cho phép bộ chứa docker trên mạng cầu kết nối với máy chủ bằng iptables

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา