Wadah Docker mengenai iptables ke proxy

Saya punya dua VPS, mesin pertama ( proxy dari sekarang) untuk proxy dan mesin kedua ( dock dari sekarang) adalah host buruh pelabuhan. Saya ingin mengarahkan semua lalu lintas yang dihasilkan di dalam wadah buruh pelabuhan itu sendiri melalui proxy , untuk tidak mengekspos mesin dok IP publik.

Karena koneksi antara VPS melalui internet, tidak ada koneksi lokal, membuat terowongan di antara mereka dengan ip tunnel sebagai berikut:

Pada proxy :

ip tunnel add tun10 mode ipip remote x.x.x.x local y.y.y.y dev eth0
ip addr add 192.168.10.1/24 peer 192.168.10.2 dev tun10
ip link set dev tun10 mtu 1492
ip link set dev tun10 up

Di dermaga :

ip tunnel add tun10 mode ipip remote y.y.y.y local x.x.x.x dev eth0
ip addr add 192.168.10.2/24 peer 192.168.10.1 dev tun10
ip link set dev tun10 mtu 1492
ip link set dev tun10 up

PS: Tidak tahu apakah ip terowongan dapat digunakan untuk produksi, itu adalah pertanyaan lain, tetap berencana untuk menggunakan libreswan atau openvpn sebagai terowongan antara VPS.

Setelah itu, tambahkan aturan SNAT ke iptables di kedua VPS dan beberapa aturan perutean sebagai berikut:

Pada proxy :

iptables -t nat -A POSTROUTING -s 192.168.10.2/32 -j SNAT --to-source y.y.y.y

Di dermaga :

iptables -t nat -A POSTROUTING -s 172.27.10.0/24 -j SNAT --to-source 192.168.10.2
ip route add default via 192.168.10.1 dev tun10 table rt2
ip rule add from 192.168.10.2 table rt2

Dan yang tak kalah pentingnya menciptakan jaringan buruh pelabuhan dengan satu wadah uji yang melekat padanya sebagai berikut:

docker network create --attachable --opt com.docker.network.bridge.name=br-test --opt com.docker.network.bridge.enable_ip_masquerade=false --subnet=172.27.10.0/24 testnet
docker run --network testnet alpine:latest /bin/sh

Sayangnya semua ini berakhir tanpa hasil. Jadi pertanyaannya adalah bagaimana cara men-debug itu? Apakah itu cara yang benar? Bagaimana Anda akan melakukan redirection melalui proxy?

Beberapa kata tentang teori: Lalu lintas yang berasal dari 172.27.10.0/24 subnet hits iptables aturan SNAT, sumber perubahan IP ke 192.168.10.2. Dengan aturan routing, rute melalui perangkat tun10, itu adalah terowongan. Dan mengenai aturan SNAT iptables lain yang mengubah IP menjadi yyyy dan akhirnya pergi ke tujuan.

Saya ingin mengarahkan semua lalu lintas yang dihasilkan di dalam wadah buruh pelabuhan itu sendiri melalui proxy, untuk tidak mengekspos mesin dok IP publik.

Jika itu yang Anda inginkan, Anda tidak perlu NAT di antara dua instance buruh pelabuhan.

Anda perlu mengaktifkan penerusan pada proxyinstance (mis. Via sysctl).

Jika IP publik proxyadalah terlihat dalam proxy, maka Anda perlu melakukan SNAT dengan itu IP publik dalam proxysaja (tidak dalam dock). Ini juga disebut MASQUERADE. Ini adalah pengaturan standar, google untuk "masquerade".

Jika IP publik proxyadalah tidak terlihat di dalam proxy(yaitu, terdaftar ketika Anda melakukan ip addr), karena tuan rumah proxy(atau bahkan beberapa host lain lebih jauh) melakukan NAT maka Anda sebaiknya menghindari double NAT dan membuat docktampak seperti wadah lain dengan tuan rumah. Detail tergantung pada bagaimana jaringan diatur pada host (yang tidak Anda katakan), tetapi pada dasarnya tunnel end dockharus memiliki IP di subnet yang sama dengan wadah pada proxyhost.

Sebuah ipipterowongan tidak dienkripsi; Anda tidak boleh menggunakan terowongan ini kecuali transpornya sepenuhnya di dalam jaringan tepercaya (yang mungkin bukan itu masalahnya, karena Anda sepertinya menginginkan alamat IP publik yang berbeda). Jadi gunakan OpenVPNatau mudah untuk menyiapkan alternatif seperti tinc . Libreswantidak begitu mudah diatur.

Sunting

Selangkah demi selangkah:

1) Verifikasi terowongan berfungsi. Aktif proxy, lakukan ping 192.168.10.2. Aktif dock, lakukan ping 192.168.10.1. Debug dengan tcpdumpsemua antarmuka jaringan yang dapat Anda akses. Jika ipip-tunnel tidak berfungsi, gunakan tunnel yang berbeda dan buat itu berfungsi.

2) Hapus semua iptablesaturan dock. Tetapkan rute default melalui terowongan. Uji dengan ip route get 8.8.8.8apakah rute tersebut berfungsi.

3) Dengan asumsi bahwa eth0pada proxymemiliki IP publik, hapus semua iptablesaturan, lakukan:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun10 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -i tun10 -j ACCEPT

Ini mengatakan "paket forward, menyamarkan semua paket yang diteruskan keluar eth0dengan memberi mereka alamat IP publik eth0sebagai alamat sumber, dan koneksi melacaknya. Paket dari tun10selalu dapat diteruskan ke eth0, paket yang masuk eth0hanya diteruskan ke tun10jika koneksi dibuat oleh dock. "

Uji dengan melakukan ping 8.8.8.8pada dock, saat menjalankan tcpdumppada tun10dan eth0di proxy. Anda harus melihat paket diteruskan, dan sumbernya ditulis ulang.

4) Setelah semuanya berfungsi, buatlah permanen: Edit /etc/sysctl.confatau file /etc/sysctl.duntuk dimiliki net.ipv4.ip_forward = 1. Baik gunakan skrip startup untuk menambahkan iptablesaturan, atau gunakan paket apa pun yang disediakan distro Anda untuk menyimpan aturan.