Geekly articles weekly

рдПрдХ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд░реВрдк рдореЗрдВ zabbix рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ docker рдХреЗ рд▓рд┐рдП рдХрд╕реНрдЯрдо iptables рдирд┐рдпрдо

рдЯрд╛рд╕реНрдХ: рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдЫреЛрдбрд╝рдХрд░ рд╕рднреА рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рди рдмрдВрдж рдХрд░ рджреЗрдВред

рд╡рд╣рд╛рдБ рдПрдХ рдкрд░реАрдХреНрд╖рдг рд╡рд╛рддрд╛рд╡рд░рдг рд╣реИ рдЬрд┐рд╕рдореЗрдВ рд▓реАрдирд┐рдпрд░ рдФрд░ рд╕реНрдЯреЗрдЯрд┐рдХ рдЖрдИрдкреА рдПрдбреНрд░реЗрд╕ рдХреЗ рд╕рд╛рде рддреАрди рд╡рд┐рдВрдбреЛ рд╣реИрдВред Linux рдкрд░, zabbix , redmine images рдХреЗ рд╕рд╛рде docker рд╕реНрдерд╛рдкрд┐рдд рд╣реИред рдФрд░ zabbix рд╕реЗ рджреЛ рд╡рд┐рдВрдбреЛ рдорд╢реАрди рдПрдЬреЗрдВрдЯ рд╕реНрдерд╛рдкрд┐рдд рдФрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рд╣реИрдВ, рддреАрд╕рд░реЗ рдкрд░ рдЖрдкрдХреЛ zabbix рджреЗрдЦрдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред рдЬрд╝реИрдмрд┐рдХреНрд╕ рд╕рд░реНрд╡рд░ рд╕реЗ рдЕрдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ, рд▓реЗрдХрд┐рди рд░реЗрдбрдореАрди рд╕реЗ рд╕реАрдорд┐рдд рдирд╣реАрдВ рд╣реИред

рд╕рднреА рдХрдорд╛рдВрдб рдХреЛ рд░реВрдЯ рдХреЗ рд░реВрдк рдореЗрдВ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рджрд╕реНрддрд╛рд╡реЗрдЬ рдХрд╛ рдХрд╣рдирд╛ рд╣реИ рдХрд┐ iptables DOCKER-USER рдирд┐рдпрдоред рдЗрд╕ рдирд┐рдпрдо рдХреЛ рдмрджрд▓рдирд╛ рдХреЗрд╡рд▓ рдЖрд╡рд╢реНрдпрдХ рд╣реИред рдкрд╣рд▓реЗ, рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐ рдирд┐рдпрдо рдХреНрдпрд╛ рд╣реИрдВ, рд╣рдо рдХреЗрд╡рд▓ рдХреБрдЫ рдирд┐рдпрдореЛрдВ рдкрд░ рдзреНрдпрд╛рди рдХреЗрдВрджреНрд░рд┐рдд рдХрд░рддреЗ рд╣реИрдВред

рдпрд╣ рджреЗрдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ DOCKER-USER рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓рд╛ рдирд┐рдпрдо FORWARD рдирд┐рдпрдо рдореЗрдВ рдкрд╣рд▓рд╛ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдЖрдкрдХреЛ рдХреЗрд╡рд▓ рдЗрд╕реЗ рдмрджрд▓рдирд╛ рдЪрд╛рд╣рд┐рдПред

iptables -L FORWARD -n -v Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 421K 169M DOCKER-USER all -- * * 0.0.0.0/0 0.0.0.0/0 419K 167M DOCKER-ISOLATION-STAGE-1 all -- * * 0.0.0.0/0 0.0.0.0/0

DOCKER рдирд┐рдпрдо рддрд╛рд▓рд┐рдХрд╛ рд╕реЗ, рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдХреМрди рд╕реЗ рдкреЛрд░реНрдЯ рдЦреБрд▓реЗ рд╣реИрдВ рдФрд░ рдХрдВрдЯреЗрдирд░реЛрдВ рдХреЗ рдЖрдВрддрд░рд┐рдХ рдЖрдИрдкреА рдкрддреЗред

 iptables -L DOCKER -n -v Chain DOCKER (4 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- !docker_redmine docker_redmine 0.0.0.0/0 172.16.237.2 tcp dpt:3000 0 0 ACCEPT udp -- !br-c56432fe07cc br-c56432fe07cc 0.0.0.0/0 172.16.238.2 udp dpt:162 0 0 ACCEPT tcp -- !br-c56432fe07cc br-c56432fe07cc 0.0.0.0/0 172.16.238.3 tcp dpt:10051 0 0 ACCEPT tcp -- !br-c56432fe07cc br-c56432fe07cc 0.0.0.0/0 172.16.238.4 tcp dpt:443 5 248 ACCEPT tcp -- !br-c56432fe07cc br-c56432fe07cc 0.0.0.0/0 172.16.238.4 tcp dpt:80

DOCKER-USER рдирд┐рдпрдо рдореЗрдВ рдХреЛрдИ рд╡рд┐рд╢реЗрд╖ рдирд┐рдпрдо рдирд╣реАрдВ рд╣реИрдВ, рдкреВрд░рд╛ рдХрдиреЗрдХреНрд╢рди рд╕реНрд╡рдпрдВ рд╣реА рдЧреБрдЬрд░рддрд╛ рд╣реИред

 iptables -L DOCKER-USER -n -v Chain DOCKER-USER (1 references) pkts bytes target prot opt in out source destination 4180 1634K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдо zabbix рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рдирд┐рдкрдЯреЗрдВрдЧреЗ, рдЕрд░реНрдерд╛рддреН, рд╣рдо рдПрдХ рдирд┐рд░рдВрддрд░ рдиреЗрдЯрд╡рд░реНрдХ рдирд╛рдо рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВрдЧреЗред рддрд╛рдХрд┐ рдЬрдм рдЖрдк docker-compose рдХреЛ рджреЛрдмрд╛рд░рд╛ рдмрдирд╛рдпреЗрдВ, рддреЛ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдирд╛рдо рди рдмрджрд▓реЗред рдиреЗрдЯрд╡рд░реНрдХ рдХреА рд╡рд░реНрддрдорд╛рди рд╕реНрдерд┐рддрд┐ рд╕реЗ, zabbix рдореЗрдВ br-c56432fe07cc рдирд╛рдордХ рдПрдХ рдиреЗрдЯрд╡рд░реНрдХ рд╣реИ, рдЬреЛ рдмрд╣реБрдд рдЕрдЪреНрдЫрд╛ рдирд╣реАрдВ рд╣реИред * .Yaml рдлрд╝рд╛рдЗрд▓ рдореЗрдВ, рдиреЗрдЯрд╡рд░реНрдХ рдирд╛рдо zbx_net_frontend рдХреЗ рд▓рд┐рдП рдЬрд┐рдореНрдореЗрджрд╛рд░ рдПрдХ рдкрдВрдХреНрддрд┐ рдЬреЛрдбрд╝реЗрдВ: "com.docker.network.bridge.name:" docker_zabbix "ред

рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛:

 networks: zbx_net_frontend: driver: bridge driver_opts: com.docker.network.enable_ipv6: "false" com.docker.network.bridge.name: "docker_zabbix"

рд╣рдо рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдлрд┐рд░ рд╕реЗ рдмрдирд╛рдиреЗ рдХреЗ рдмрд╛рджред рдЕрдкрдиреЗ * .yaml рдХреЗ рд╕рд╛рде рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред

 docker-compose -f docker-compose_v3_ubuntu_mysql_latest.yaml down docker-compose -f docker-compose_v3_ubuntu_mysql_latest.yaml up -d

рд╣рдо DOCKER рдирд┐рдпрдо рдХреЛ рджреЗрдЦрддреЗ рд╣реИрдВред

 iptables -L DOCKER -n -v Chain DOCKER (4 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- !docker_redmine docker_redmine 0.0.0.0/0 172.16.237.2 tcp dpt:3000 0 0 ACCEPT udp -- !docker_zabbix docker_zabbix 0.0.0.0/0 172.16.238.2 udp dpt:162 0 0 ACCEPT tcp -- !docker_zabbix docker_zabbix 0.0.0.0/0 172.16.238.3 tcp dpt:10051 0 0 ACCEPT tcp -- !docker_zabbix docker_zabbix 0.0.0.0/0 172.16.238.4 tcp dpt:443 5 252 ACCEPT tcp -- !docker_zabbix docker_zabbix 0.0.0.0/0 172.16.238.4 tcp dpt:80

рдпрд╣ рдирд┐рдпрдо рдХреЛ DOCKER-USER рддрд╛рд▓рд┐рдХрд╛ рдореЗрдВ рдЬреЛрдбрд╝рддрд╛ рд╣реИред рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдо рдмрд╛рд╣рд░реА рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рд╕реЗ docker_zabbix рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд╕рднреА рдХрдиреЗрдХреНрд╢рдиреЛрдВ рдХреЗ рд▓рд┐рдП DROP рдирд┐рдпрдо рд▓рд╛рдЧреВ рдХрд░рддреЗ рд╣реИрдВ (рдореЗрд░реЗ рдкрд╛рд╕ eth0 рд╣реИ )ред

 iptables -I DOCKER-USER -i eth0 -o docker_zabbix -j DROP

рдЕрдм рд╕рднреА рдХрдиреЗрдХреНрд╢рди docker_zabbix рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рд╡рдВрдЪрд┐рдд рд╣реИрдВред рдЖрдЗрдП рдПрдХ рдЖрдИрдкреА рдкрддреЗ рдХреЗ рд▓рд┐рдП рдХрдиреЗрдХреНрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдВ, рдЕрдзрд┐рдХ рд╕рдЯреАрдХ рд░реВрдк рд╕реЗ, рдЖрдЧреЗ рдХреЗ рд╕рд╛рде рдкреИрдХреЗрдЯ рдЖрдЧреЗ рднреА рдЬрд╛рд░реА рд░рд╣ рд╕рдХрддрд╛ рд╣реИред

 iptables -I DOCKER-USER -i eth0 -s 192.168.43.55 -j RETURN

Docker_zabbix рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рдпрд╣рд╛рдВ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╣рдо рд╣реЛрд╕реНрдЯрдмреЗрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ 192.168.43.55 рд╕реЗ рдЬрд╝реИрдмрд┐рдХреНрд╕ рдХреА рдЙрдкрд▓рдмреНрдзрддрд╛ рдХреА рдЬрд╛рдВрдЪ рдХрд░рддреЗ рд╣реИрдВред

 tnc 192.168.43.136 -port 8081 ComputerName : 192.168.43.136 RemoteAddress : 192.168.43.136 RemotePort : 8081 InterfaceAlias : vEthernet (Swich_in) SourceAddress : 192.168.43.55 TcpTestSucceeded : True

8081 рдкреЛрд░реНрдЯ рдЬреИрдмрд┐рдХреНрд╕ рдбреЙрдХрдЯрд░ рдХреЗ рд▓рд┐рдП рдЦреБрд▓рд╛ рд╣реИред рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐ рдЬрд╝реИрдмрд┐рдХреНрд╕ 8081 рдкреЛрд░реНрдЯ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИред

 docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES c047f18a4445 zabbix/zabbix-web-nginx-mysql:ubuntu-4.2-latest "docker-entrypoint.sh" About an hour ago Up About an hour (healthy) 0.0.0.0:8081->80/tcp, 127.0.0.1:8443->443/tcp zabbix_zabbix-web-nginx-mysql_1

рд▓реЗрдХрд┐рди рдзреНрдпрд╛рди рд░рдЦреЗрдВ рдХрд┐ рдирд┐рдпрдореЛрдВ рдХреЛ рдкреЛрд░реНрдЯ 80 рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛, 8081 рдирд╣реАрдВред рдпрджрд┐ рдЖрдк рдкреЛрд░реНрдЯ 8081 рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЬрд╝реИрдмрд┐рдХреНрд╕ рддрдХ рдкрд╣реБрдВрдЪ рдирд╣реАрдВ рдЦреЛрд▓реА рдЬрд╛рдПрдЧреАред рджреВрд╕рд░реЗ рд╣реЛрд╕реНрдЯ рдХреЗ рд▓рд┐рдП, рдХрдорд╛рдВрдбред

 iptables -I DOCKER-USER -i eth0 -p tcp --dport 80 -s 192.168.43.10 -j RETURN

рддреАрд╕рд░реЗ рд╣реЛрд╕реНрдЯ рдХреЗ рд▓рд┐рдП, рдХреЗрд╡рд▓ рдкреЛрд░реНрдЯ 10051 рдЦреЛрд▓реЗрдВ, рдЗрд╕ рд╣реЛрд╕реНрдЯ рдкрд░ рдПрдХ рд╕рдХреНрд░рд┐рдп рдПрдЬреЗрдВрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

 iptables -I DOCKER-USER -i eth0 -p tcp --dport 10051 -s 192.168.43.13 -j RETURN

рдПрдХ рдФрд░ рд╕рдорд╕реНрдпрд╛, рд╣рдо рдмрд╛рд╣рд░реА рджреБрдирд┐рдпрд╛ рдореЗрдВ рдХрдВрдЯреЗрдирд░реЛрдВ рд╕реЗ рдирд╣реАрдВ рдирд┐рдХрд▓ рд╕рдХрддреЗред рдЕрдзрд┐рд╕реВрдЪрдирд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддреА рд╣реИ рдФрд░ рд╕рд╛рдЗрдЯреЛрдВ рдХреА рдЙрдкрд▓рдмреНрдзрддрд╛ рдХреА рдЬрд╛рдВрдЪ рдирд╣реАрдВ рдХрд░ рд╕рдХрддреА рд╣реИред рдкрд╣рд▓реЗ рд╕реЗ рдореМрдЬреВрдж рдХрдиреЗрдХреНрд╢рди рдХреЛ рд╣рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдФрд░ рдХрдорд╛рдВрдб рдереАред

 iptables -I DOCKER-USER -i eth0 -o docker_zabbix -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

рдпрд╣ рдордд рднреВрд▓реЛ рдХрд┐ рд╕рд░реНрд╡рд░ рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдмрдирд╛рдП рдЧрдП рдирд┐рдпрдо рдорд┐рдЯ рдЬрд╛рддреЗ рд╣реИрдВред

Source: https://habr.com/ru/post/hi473222/

More articles:


All Articles