docker e la rete


Rispondi
Avatar utente
ale
Mac
Messaggi: 6797
Iscritto il: 27 apr 2001, 20:31
Località: Romanengo
Contatta:

docker e la rete

Messaggio da ale » 02 apr 2020, 12:36

ho caricato un container con dentro un analizzatore di netflow (un protocollo cisco per monitorare il traffico di rete e che è supportato anche dal mio router)
il docker usa la porta tcp 8060 per l'interfaccia di amministrazione del netflow analyzer e usa la porta udp 9996 per i flussi netflow in entrata.

ho avviato il container in questo modo, da utente normale:

Codice: Seleziona tutto

docker run --detach --publish 8060:8060 babim/netflow:latest
questo è l'output di docker ps:

Codice: Seleziona tutto

CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS              PORTS
    NAMES
2107a6a17e81        babim/netflow:latest   "/docker-entrypoint.…"   3 minutes ago       Up 3 minutes        0.0.0.0:8060->8060/tcp, 9996/tcp, 9996/ud
p   kind_jang
comunque se provo a fare

Codice: Seleziona tutto

nc -w 5 -v 192.168.2.14 8060
da un altro PC mi dice connection refused, se faccio lo stesso comando dal server stesso su cui gira docker mi dice open.

questo è l'output di iptables del server:

Codice: Seleziona tutto

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:8060

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
quello 0.0.0.0 nel ps dovrebbe dire che il container sta ascoltando tutte le interfacce e in iptables non vedo nulla che blocchi il traffico in ingresso, tanto è vero che rembamb gira sulla stessa macchina.
cosa cavolo è che impedisce l'accesso al container da fuori?
E pluribus unum

Avatar utente
Sbienk
泰狼
Messaggi: 4013
Iscritto il: 30 set 2001, 11:03
Località: Calvenzano
Contatta:

Re: docker e la rete

Messaggio da Sbienk » 04 apr 2020, 20:21

Mi piacerebbe saperti rispondere XD

Potrete ingannare tutti per un po'.
Potrete ingannare qualcuno per sempre.
Ma non potrete ingannare tutti per sempre

(Abraham Lincoln)

Avatar utente
ale
Mac
Messaggi: 6797
Iscritto il: 27 apr 2001, 20:31
Località: Romanengo
Contatta:

Re: docker e la rete

Messaggio da ale » 06 apr 2020, 17:01

Ho lasciato perdere.
Ho installato flow viewer sul server direttamente...
E pluribus unum

Rispondi