mulțumesc anticipat că ai aruncat o privire la asta... Sunt încrezător că soluția este simplă - doar că nu știu ce este.
Alergare nc -l -u 9090 ȘI nc -uv 82.165.109.4 9090 comanda pe același server, stabiliți o „conexiune” de tip netcat și mesajele sunt primite conform așteptărilor.
Există o aplicație docker care rulează și care primește pachetul, așa că se pare că mediul intern este configurat în regulă.
echo -p „bună ziua” >/dev/udp/82.165.109.4/9090
este primit de ambii tcpdump si aplicatia.
Monitorizez primirea pachetelor cu:
tcpdump -i orice port udp -AXn 9090
- Dacă trimit un pachet UDP din afara cutiei, nu ajunge
tcpdump
- Nu pot face ping la server extern, dar pot face intern.
- Portul pare a fi deschis și ascultă.
- porturile ssh, http și https funcționează toate conform așteptărilor.
netstat -ltu
Conexiuni la internet active (numai servere)
Proto Recv-Q Send-Q Adresă locală Adresă străină
tcp 0 0 0.0.0.0:5984 0.0.0.0:* ASCULTĂ
tcp 0 0 0.0.0.0:9070 0.0.0.0:* ASCULTĂ
tcp 0 0 0.0.0.0:http 0.0.0.0:* ASCULTĂ
tcp 0 0 localhost:domain 0.0.0.0:* ASCULTĂ
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* ASCULTĂ
tcp 0 0 0.0.0.0:https 0.0.0.0:* ASCULTĂ
tcp6 0 0 [::]:5984 [::]:* ASCULTĂ
tcp6 0 0 [::]:9070 [::]:* ASCULTĂ
tcp6 0 0 [::]:http [::]:* ASCULTĂ
tcp6 0 0 [::]:ssh [::]:* ASCULTĂ
tcp6 0 0 [::]:https [::]:* ASCULTĂ
udp 0 0 localhost:domeniu 0.0.0.0:*
udp 0 0 0.0.0.0:bootpc 0.0.0.0:*
udp 0 0 0.0.0.0:9090 0.0.0.0:*
udp6 0 0 [::]:9090 [::]:*
Tot ce am citit indică iptables și firewall-ul, așa că am dezactivat ufw
iptables -L
INTRARE în lanț (politica ACCEPT)
target prot opt sursă destinație
Lanț FORWARD (politica ACCEPT)
target prot opt sursă destinație
DOCKER-USER all -- oriunde oriunde
DOCKER-ISOLATION-STAGE-1 toate -- oriunde oriunde
ACCEPTĂ toate -- oriunde oriunde ctstate RELATED,STABLISHED
DOCKER all -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde
ACCEPTĂ toate -- oriunde oriunde ctstate RELATED,STABLISHED
DOCKER all -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde
Ieșire în lanț (politica ACCEPT)
target prot opt sursă destinație
Lanț DOCKER (2 referințe)
target prot opt sursă destinație
ACCEPT udp -- oriunde 172.18.0.3 udp dpt:9090
ACCEPT tcp -- oriunde 172.18.0.6 tcp dpt:9080
ACCEPT tcp -- oriunde 172.18.0.2 tcp dpt:https
ACCEPT tcp -- oriunde 172.18.0.5 tcp dpt:5984
ACCEPT tcp -- oriunde 172.18.0.2 tcp dpt:http
Lanț DOCKER-ISOLATION-STAGE-1 (1 referințe)
target prot opt sursă destinație
DOCKER-ISOLATION-STAGE-2 toate -- oriunde oriunde
DOCKER-ISOLATION-STAGE-2 toate -- oriunde oriunde
RETURN all -- oriunde oriunde
Lanț DOCKER-ISOLATION-STAGE-2 (2 referințe)
target prot opt sursă destinație
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde
RETURN all -- oriunde oriunde
Lanț DOCKER-USER (1 referințe)
target prot opt sursă destinație
RETURN all -- oriunde oriunde
Setările NAT sunt după cum urmează:
iptables -t nat -L -v -n
PRERUUTARE în lanț (politica ACCEPTĂ 235 pachete, 28704 octeți)
pkts bytes target prot opt in out source destination
163 9840 DOCKER toate -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE se potrivește cu dst-type LOCAL
INTRARE în lanț (politica ACCEPTĂ 205 pachete, 26904 octeți)
pkts bytes target prot opt in out source destination
IEȘIRE în lanț (politica ACCEPTĂ 72 de pachete, 5351 de octeți)
pkts bytes target prot opt in out source destination
2 121 DOCKER all -- * * 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE se potrivește cu dst-type LOCAL
POSTROUTING în lanț (politica ACCEPTĂ 108 pachete, 7416 octeți)
pkts bytes target prot opt in out source destination
4 240 MASQUERADE toate -- * !br-a371a521a463 172.18.0.0/16 0.0.0.0/0
0 0 MASQUERADE toate -- * !docker0 172.17.0.0/16 0.0.0.0/0
0 0 MASQUERADE udp -- * * 172.18.0.3 172.18.0.3 udp dpt:9090
0 0 MASQUERADE tcp -- * * 172.18.0.6 172.18.0.6 tcp dpt:9080
0 0 MASQUERADE tcp -- * * 172.18.0.2 172.18.0.2 tcp dpt:443
0 0 MASQUERADE tcp -- * * 172.18.0.5 172.18.0.5 tcp dpt:5984
0 0 MASQUERADE tcp -- * * 172.18.0.2 172.18.0.2 tcp dpt:80
Lanț DOCKER (2 referințe)
pkts bytes target prot opt in out source destination
2 120 RETURN all -- br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- docker0 * 0.0.0.0/0 0.0.0.0/0
1 37 DNAT udp -- !br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0 udp dpt:9090 to:172.18.0.3:9090
0 0 DNAT tcp -- !br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9070 la:172.18.0.6:9080
4 220 DNAT tcp -- !br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:172.18.0.2:443
0 0 DNAT tcp -- !br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5984 la:172.18.0.5:5984
5 248 DNAT tcp -- !br-a371a521a463 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.18.0.2:80
Dacă UFW a fost activat, starea este:
ufw status verbose
Stare: activ
Înregistrare: activată (mare)
Implicit: deny (incoming), allow (outgoing), deny (direcționat)
Profiluri noi: săriți
La Acțiune De la
-- ------ ----
22/tcp PERMITERE PENTRU Oriunde
80/tcp PERMITERE PENTRU Oriunde
443/tcp PERMITERE PENTRU Oriunde
993 PERMITĂȚI PENTRU Oriunde
995 PERMITĂȚI PENTRU Oriunde
9090/udp PERMITĂ IN Oriunde
520/udp PERMITERE PENTRU Oriunde
22/tcp (v6) PERMITĂȚI oriunde (v6)
80/tcp (v6) PERMITERE Oriunde (v6)
443/tcp (v6) PERMITERE Oriunde (v6)
993 (v6) PERMISĂ IN Oriunde (v6)
995 (v6) PERMISĂ IN Oriunde (v6)
9090/udp (v6) PERMITERE Oriunde (v6)
520/udp (v6) PERMITERE Oriunde (v6)
9090/udp ALLOW FWD oriunde
9090/udp (v6) PERMITERE FWD oriunde (v6)
Am încercat multe - dar unele dintre cele mai importante lucruri sunt;
- spălarea iptable-urilor nu a avut niciun efect
- monitorizarea trimiterii UDP prin tcpdump din caseta externă (care a fost înregistrată)
- monitorizarea tuturor porturilor și înregistrarea detaliate (nicio modificare)
- pornirea ip_forwarding
sysctl -p
net.ipv4.ip_forward = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1
Alte note:
- Folosind un server „cloud”, deci o mașină virtuală.
- Nu găsesc logare ufw
/etc/ufw/
