В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SPb Reliability Meetup

331 membersпожаловаться на группу
2019 August 11

p

pragus in SPb Reliability Meetup
⚓️Damir
может быть важен порядок, а докер запишет свои правила в начало.
почему не macvlan это уже другой вопрос, речь просто была о том, что когда докер рулит iptables, дополнительно туда влезать может быть сильно тяжелее, чем если бы докер там не было
Я выше уже предлагал вариант: iptables-nftables-compat
источник
21:46пожаловаться#1

GG

George Gaál in SPb Reliability Meetup
и, да, речь про миллисекунды и размер тсп беклога
источник
21:47пожаловаться#2

⚓️Damir in SPb Reliability Meetup
pragus
Я выше уже предлагал вариант: iptables-nftables-compat
я написал, что я деревня и не пробовал 🙂 ну и объяснил возможную проблему с iptables < 1.8
источник
21:49пожаловаться#3

GG

George Gaál in SPb Reliability Meetup
меня дети отвлекли, никак не могу дослушать линкмиап
источник
22:03пожаловаться#4

VR

Vasiliy Romaneev in SPb Reliability Meetup
Paul Rudnitskiy
Нельзя в прод пускать бридж! Должна быть точка входа, через которую трафик будет проходить. По сути это параллельный сетевой стек - OpenNetwork или тот же cillium
а есть какая-то дока почитать - что именно предлагаешь ?
Потому что проблема действительно есть, но пока никак не решалась.
источник
22:08пожаловаться#5

VR

Vasiliy Romaneev in SPb Reliability Meetup
pragus
Я выше уже предлагал вариант: iptables-nftables-compat
это решает https://t.me/spb_reliability/9014 ?
Telegram
Paul Rudnitskiy in SPb Reliability Meetup
Нельзя в прод пускать бридж! Должна быть точка входа, через которую трафик будет проходить. По сути это параллельный сетевой стек - OpenNetwork или тот же cillium
источник
22:09пожаловаться#6

PR

Paul Rudnitskiy in SPb Reliability Meetup
Vasiliy Romaneev
это решает https://t.me/spb_reliability/9014 ?
Telegram
Paul Rudnitskiy in SPb Reliability Meetup
Нельзя в прод пускать бридж! Должна быть точка входа, через которую трафик будет проходить. По сути это параллельный сетевой стек - OpenNetwork или тот же cillium
Нет, не решает. Если инфраструктура большая и вручную настроить нельзя - нужен кто-то, кто оркестрирует через центральное место и желательно - в обход iptables и nat. А значит - мы приходим или к cillium (параллельный сетевой стек) или к SDN (opennetwork, vxlan)
источник
22:13пожаловаться#7

VR

Vasiliy Romaneev in SPb Reliability Meetup
Paul Rudnitskiy
Нет, не решает. Если инфраструктура большая и вручную настроить нельзя - нужен кто-то, кто оркестрирует через центральное место и желательно - в обход iptables и nat. А значит - мы приходим или к cillium (параллельный сетевой стек) или к SDN (opennetwork, vxlan)
а если мелкая ?
меня сильно беспокоит тот момент, что если я докеризую эластик через ports: 9200:9200 я не могу ограничить с внешнего интерфейса доступ к нему
источник
22:19пожаловаться#8

GG

George Gaál in SPb Reliability Meetup
Vasiliy Romaneev
а если мелкая ?
меня сильно беспокоит тот момент, что если я докеризую эластик через ports: 9200:9200 я не могу ограничить с внешнего интерфейса доступ к нему
можешь
источник
22:19пожаловаться#9

GG

George Gaál in SPb Reliability Meetup
iptables -> фильтруешь инпут, потом еще в nat прероутинг вроде надо добавить праивло
источник
22:19пожаловаться#10

VR

Vasiliy Romaneev in SPb Reliability Meetup
iptables -I INPUT -p tcp —dport 9200 -j DROP не работает.
источник
22:19пожаловаться#11

GG

George Gaál in SPb Reliability Meetup
я сказал ДВЕ вещи, а не одну ваще-то так-то
источник
22:20пожаловаться#12

GG

George Gaál in SPb Reliability Meetup
ты не забыл, что -t nat PREROUTING  в обход INPUT работает?
источник
22:20пожаловаться#13

GG

George Gaál in SPb Reliability Meetup
вообще выше коллега говорил верную вещь, что это удобнее на стороне IaaS ограничивать, чем иметь секс с файрволлом и докером
источник
22:21пожаловаться#14

VR

Vasiliy Romaneev in SPb Reliability Meetup
вот как раз смотрю на флоу iptables
источник
22:21пожаловаться#15

VR

Vasiliy Romaneev in SPb Reliability Meetup
George Gaál
iptables -> фильтруешь инпут, потом еще в nat прероутинг вроде надо добавить праивло
спасибо!
источник
22:23пожаловаться#16

GG

George Gaál in SPb Reliability Meetup
Vasiliy Romaneev
вот как раз смотрю на флоу iptables
мне очень курсы MTCNA  помогли это понять, т.к. микротик == тот же линукс с айпитейблз
источник
22:24пожаловаться#17

PR

Paul Rudnitskiy in SPb Reliability Meetup
Vasiliy Romaneev
вот как раз смотрю на флоу iptables
Он чудесно описан в документации, там есть схема. Я ее раньше на стене держал в распечатанном виде
источник
22:35пожаловаться#18

МS

Михаил SinTeZoiD in SPb Reliability Meetup
Paul Rudnitskiy
Можно и работу не заводить. И даже писать на node.js
и не просто писать, а бекенд
источник
22:35пожаловаться#19

VR

Vasiliy Romaneev in SPb Reliability Meetup
до этого я смотрел на https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg
источник
22:36пожаловаться#20