Коллеги, а как вы с файрволами живёте ?
я читаю концепции ufw/firewalld/nftables и понимаю, что они не решают мою проблему.

Я хочу простого
- есть у меня "локалка" - внутренние IP сервиса
- вот есть у меня service - для его вот такие правила, ну там открыть порт на таком-то интерейсе и это на пачке хостов
- есть у меня внешний сервис, который к моему стучится - открыть именно для этих IP наши внутренние IP

не верю, что это еще не реализовано.
Посоветуете ?

scm+генерация конфигов - "бесплатно"

а у белых людей микросегментация аля nsx vmware и прочее

ансиблом и я могу.
но зачем тогда все надстройки над iptables ?

> а у белых людей микросегментация аля nsx vmware и прочее
а кто задаёт правила ?
теги ?

просто при работе с firewalld вместе с докером ключевой рецепт - отключить надстройку напрочь.

вопрос про зачем хороший, но вряд ли на него кто-то адекватное что то ответит

при работе с firewalld надо докеру сказать iptables: false и делать все правила самому

я например так и живу

ну такое.

кто задает правила не понял вообще кто админит тот и задает, у нутаникса вообще космически удобно сделано

с нутаниксом не знаком - вроде обещают.

но суть-то в том - что постоянно идут новые концепции, но всё это плохо живёт в реальном мире.
в реальности - проще правила для старых генерить как-то автоматом.

у меня правила задаёт разработчик - написал в docker-compose прокинуть порты - вот они.

тут вопрос в том кто в какой реальности живет, ну в том плане что в цивилизованном мире у людей redhat на vmware и у них не болит вообще

ну это концептуально против текущих реалий

разработчикам на проде вообще не место

а на деве у тебя есть trefic или envoy для докера

отделяем разработчиков от продакшн среды ?
плохое решение.

это единственное правильно решение на самом деле в большинстве случаев, сервисы на проде экплуатирует сре команда, которая вполне себе состоит из разработчиков, но это в основном не те люди что сервис делают

это тема для бесконечного флейма