R
хоть ктото прокуривал эту тему?
Size: a a a
2016 May 04
R
я прокуривал , хочу найти наркоманов сородичей
D🐈
периодически приходится курить как следует их
R
поделитесь мыслями / боевым опытом, .. а я поведаю свою идею
D🐈
за прошедшие десятилетия в мире файрволов фундаментально мало что поменялось. все по-старинке действуют по правилу: "закрыть всё, открывать необходимое", и считается что этот метод правильный с точки зрения и безопасности и здоровья админа.
R
это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола
ZO
это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола
И это весьма огорчает всё. Мы так напилили портфорвардинг через haproxy и consul
R
@zon_orti , Тоесть у вас посути consul обновляет правила?
EK
это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола
у меня добавлен ручной костыль который с докером живет
R
я тоже такой костыль придумал =) причем он должен работать внутри контейнера ) , тоесть хоешь обновить правила файрвола - пересоздай контейнер
R
неа.. очень даже хорошо, иначе нужно цеплятсья за systemd и следить за перезапуском докера, а так контейнер сам запускатся полсе докера
R
причем таким макаром, видать, работает calico которая свой чейн втыкает перед чейном докера,
R
в моем случае мне не нужны динамическе порты смотрящие в интернет, поэтому consul для этого не понадобится, а внутри приватных сетей разрешающие правила и полностью отключенный nfconntrack , на внешке отключен nfconntrack только для портов с трафиком, для остальных включен что бы исходящие соединения спокойно ходили в интернет
ZO
R
хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще
ZO
хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще
Дальше форвардится не на docker-proxy а на внутренний ip контейнера. HAproxy под нагрузкой вроде вполне работает, хотя некоторые говорят, что при релоаде теряются коннекты
R
хм, но почему не dnat ?
ZO
iptables управляется через chef посредством shorewall. Как это красиво скрестить с докером - пока не придумали