W
iptables -L
?
?
Size: a a a
2020 January 06
W
net.ipv4.ip_forward = 1 точно включён?
PK
net.ipv4.ip_forward = 1 точно включён?
Иначе докер бы не работал
PK
iptables -L
?
?
ща. но это ничего не даст
PK
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8 ctstate NEW
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 ctstate NEW
ACCEPT tcp -- 185.35.220.36 0.0.0.0/0 tcp dpt:5666 flags:0x17/0x02 ctstate NEW
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DOCKER (3 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.21.22.2 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 172.21.22.17 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 172.21.22.17 tcp dpt:80
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain DOCKER-ISOLATION-STAGE-2 (3 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain DOCKER-USER (1 references)
target prot opt source destination
FILTERS all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain FILTERS (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 ctstate NEW ctorigdstport 2022
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x17/0x02 ctstate NEW ctorigdstport 443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 ctstate NEW ctorigdstport 80
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
W
а ну и эту картинку извне тоже жно получить через тольео nginx?
PK
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0
MASQUERADE all -- 172.21.11.0/24 0.0.0.0/0
MASQUERADE all -- 172.21.22.0/24 0.0.0.0/0
MASQUERADE tcp -- 172.21.22.2 172.21.22.2 tcp dpt:22
MASQUERADE tcp -- 172.21.22.17 172.21.22.17 tcp dpt:443
MASQUERADE tcp -- 172.21.22.17 172.21.22.17 tcp dpt:80
Chain DOCKER (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2022 to:172.21.22.2:22
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:172.21.22.17:443
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.21.22.17:80
PK
а ну и эту картинку извне тоже жно получить через тольео nginx?
не понял вопроса
W
не понял вопроса
ну смотри php-apache идёт за картинкой к nginx docker?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
PK
ну смотри php-apache идёт за картинкой к nginx docker?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
всё норм
PK
ну смотри php-apache идёт за картинкой к nginx docker?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
и картинку эту должен отдать nginx docker?
что происходит ели просто спросить у nginx dokcer эту картинку, (не с php-apache), а напрямую?
вообще апач идёт к внешнему IP. а там правила iptables, которые налил docker, прокидывают это к nginx. и тот уже отдает
W
a c apache-php есть доступ на 172.21.22.17:80?
PK
a c apache-php есть доступ на 172.21.22.17:80?
да
PK
Да, можно наалиасить. Хочется стандартного решения, чтобы не искать, что там ещё захотелось у самого себя побрать какому сайту
PK
На самом деле я не совсем понимаю кто там где рефьюзит
W
На самом деле я не совсем понимаю кто там где рефьюзит
Сделай временое правило
ACCEPT tcp -- 0.0.0.0/0 $EXT_IP tcp dpt:80
в таблице доке и псмотри меняется что-то или нет
ACCEPT tcp -- 0.0.0.0/0 $EXT_IP tcp dpt:80
в таблице доке и псмотри меняется что-то или нет
W
у тебя случаем не csf с docker isolation rules?
AS
я не мало удивлён. в винде при высоком io на диск тормозит bt мышка
AS
где они там пересекаются то ?
W
Унутре