PR
Есть предположение, что 12FA переоценен
Хочу посмотреть на альтернативы
Size: a a a
2019 August 11
МS
Хочу посмотреть на альтернативы
C
даже такое есть
p
мне казалось, что могут быть конфликты с правилами, которые docker демон настраивает🤔
Какие? docker дёргает iptables, который по факту iptables-compat
Е
сейчас он кстати их дополняет
GG
парни, вы о чем?
GG
кто что дополняет?
GG
попробуйте сбросить правила айпитейблз, докер без перезапуска их не восстановит
GG
потом интересный кейс - наличие впн + докера на одной машине. Они реально подерутся за файрволл
GG
третий кейс - докер для экспоуза портов создает правила в table nat. Соответственно, контейнер доступен извне, даже если он заблочен в цепочке INPUT. Ололо
GG
приходится изворачиваться и настраивать "как надо". Цепочка DOCKER-USER, которая типа предназначена для ограничения доступа к контейнерам - никогда нормально не работает
I
потом интересный кейс - наличие впн + докера на одной машине. Они реально подерутся за файрволл
вот был такой прикол, не помню даже как решал
⚓
Какие? docker дёргает iptables, который по факту iptables-compat
Я пока не понимаю почему это поможет избежать сложность от того, что докер при рестарте переписывает все свои правила, но возможно это просто потому что у меня iptables нормального не было(1.8)
GG
Я пока не понимаю почему это поможет избежать сложность от того, что докер при рестарте переписывает все свои правила, но возможно это просто потому что у меня iptables нормального не было(1.8)
Мне кажется, что проще отобрать у докера управление айпитейблзом. Все равно, если контейнеры надо ансиблем деплоить, то тебе легко в него же (ансибл) накрутить настройки файрволла
GG
Кстати, кубер так и делает 😱
⚓
Мне кажется, что проще отобрать у докера управление айпитейблзом. Все равно, если контейнеры надо ансиблем деплоить, то тебе легко в него же (ансибл) накрутить настройки файрволла
не кажется что легко, без прибития гвоздями сетей и айпишников контейнеров, т.к. иначе в любой момент всё может сломаться
Ну и вообще это проблема изгоев каких-то, которые зачем-то биндят контейнеры к портам, на тачках у которых нет снаружи фаерволлов
Ну и вообще это проблема изгоев каких-то, которые зачем-то биндят контейнеры к портам, на тачках у которых нет снаружи фаерволлов
GG
не кажется что легко, без прибития гвоздями сетей и айпишников контейнеров, т.к. иначе в любой момент всё может сломаться
Ну и вообще это проблема изгоев каких-то, которые зачем-то биндят контейнеры к портам, на тачках у которых нет снаружи фаерволлов
Ну и вообще это проблема изгоев каких-то, которые зачем-то биндят контейнеры к портам, на тачках у которых нет снаружи фаерволлов
ну, эм, да, но получается, что докер - для инфры, в которой есть файрволл на уровне IaaS (VPC, subnets, NSX и прочая), но это же дно
GG
а если надо на бареметал затащить? то что? на корневой циске асл настраивать?