Помогите понять работу iptables

При создании контейнера docker добавить network параметр(если не ошибаюсь)
«Мне нужно что бы днс и админка были доступны только внутри VPN сети»
сделайте проброс портов с этой сети в ваш контейнер с доп ключом network
После проверить через вывод списка правил iptables

Nftables к вашим услугам

Суть вопроса состояла в том, почему при текущей таблице такое поведение. Мне в первую очередь надо понять причину и суть работы. Остальное сделать будет не сложно.

Поясню, контейнер я поднимаю docker-compose

version: "3"

# More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
      # - "53:53/tcp"
      # - "53:53/udp"
      #- "67:67/udp" # Only required if you are using Pi-hole as your DHCP server
      # - "80:80/tcp"
    environment:
      TZ: 'UTC+02:00'
      FTLCONF_LOCAL_IPV4: "{{ vpn_net }}.1"
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    # cap_add:
    # - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart: unless-stopped

iptables в debian это просто обертка над nftables.

Точно подметили!

Буквально пару недель назад потратил время на ролик в интернет по docker. Автор ролика при конфигурировании сети не разъяснял что происходит под капотом (с бриджами , с iptables, с ТМ в linux) но мне подумалось что скорее всего как и у других (openvz,lxc и др). Но автор объяснял (на мой взглад не очень глубоко) про то какие сети бывают в docker и как это делается через команду docker.
Все же я подсмотрел командой iptables список правил и ничего для себя интересного не увидел и решил, что разрабы докер-а знают как правильно конфигурить iptables, bridges и т.д. от меня нужно правильно формулировать команде docker ключи с параметрами
ролик про сети в docker https://youtu.be/O8N1lvkIjig?t=6523
Автор ролика в некоторых местах объясняет некоторые вещи некорректно - допустим нужно сказать о пробросе портов с использованием NAT - вместо этого он говорит «мостик», хотя мостик,мост,бридж в Linux имеет свое значение

root@secure:~/docker# brctl show
bridge name     bridge id               STP enabled     interfaces
docker0         8000.0242ef105826       no              veth83b063b
                                                        veth8629061
                                                        veth9d330fc
                                                        vethcbdfb4d
                                                        vethff1430b
root@secure:~/docker#

docker network ls[br]
root@secure:~# docker network ls
NETWORK ID     NAME                   DRIVER    SCOPE
f5303ce6d3c0   bridge                 bridge    local
8e771da8f2c7   host                   host      local
9064fe04205a   my-8021q-macvlan-net   macvlan   local
689755f80129   none                   null      local


docker inspect <NETWORK ID>

жаль только что эти сущности в открытом софте у всех свои.

у libvirt свои, у docker свои надо думать. При том, что могут быть технически те же конечно.

думать это хорошо, проверять и вникать еще лучше

я не говорю, что у кого-то они глупые или неправильные.

вникнуть бы в мой пост.

c libvirt не сталкивался, беру свои слова «и др.» обратно

я скорее в общем, что для открытого софта есть шанс сделать унифицировано, в отличие от закрытого.

но увы…

Да причем тут докер то? Выше я привел полный конфиг таблиц. Мне надо понять как он работает, даже если я его руками написал бы. Я написал ситуацию с сетью, мне нужно понять каким образом так получилось из этой таблицы, что порт 53 торчит наружу и порт 80 ответил лишь однажды. Мне докер вообще в данном случае не важен.

Мало того я написал уже, что композом конфигурю все. Но это повторю не имеет значения.

Мне нужно что бы человек, который соображает в работе iptables объяснил как эта таблица приводит к такому поведению. Если кто из соображающих время найдет.

ключ iptables -j TRACE сделает трассировку по порядку срабатывания правил

Вот спасибо, пойду изучать!

на счетчики пакетов у правил еще можно смотреть

https://sysadmin.pm/iptables-tracer/

Как раз это я и искал, я вообще не понимаю как отлаживать это все. Спасибо.

выключайте систему от сети чтобы в нее не долбился кто попало, затем выполняйте Ваши команды диагностики по одной и смотрите счетчики и трассировку iptables после каждой команды
я так думаю

https://backreference.org/2010/06/11/iptables-debugging/index.html
в обсуждении поста

noname says:	
May 29, 2018 at 10:22	

On 4.4.0 I had to do:

modprobe nf_log_ipv4
sysctl net.netfilter.nf_log.2=nf_log_ipv4

And if you get nothing in /var/log/kern.log, check if you have kernel logging enabled in syslog and if LOG_KERN facility exists.
Chris says:	
May 29, 2015 at 00:08	

With Kernel 4.0.4, I had to use:

sysctl 'net.netfilter.nf_log.2=nf_log_ipv4
tudor says:	
November 6, 2013 at 11:33	

Works after configure this:
sudo sysctl net.netfilter.nf_log.2=ipt_LOG

Thanks!
Yanis Guenane says:	
May 30, 2013 at 18:12	

Thank you for this post. Really informative and actually straigh to the point. Exactly what I needed

cat /proc/net/nf_conntrack

жаль только что эти сущности в открытом софте у всех свои.
у libvirt свои, у docker свои надо думать.

Одинаковые «эти сущности» т.к. ничего нового никто не изобрел.

в том-то и дело, что «по сути» одни.

c libvirt не сталкивался, беру свои слова «и др.» обратно

Та теже только сбоку, все правильно вы пишите.

ЯННП. Поясните в чем тогда претензия?

не-не, какие «претензии».

просто в целом наблюдение, что основная сила открытого ПО это унификация. должна бы быть. на деле увы не так.

Оно и так унифицировано.

Что как то все сложно. С либвирт проще, там внутри ВМ полноценный стек сети и просто запрещаешь INPUT и все.

Что касаеться докера может просто пробросить нужные порты на адрес wg ?

Каким образом из родного стека linux в стек libvirt пакеты попадают/перебрасываются? каким то оригинальным образом?

С либвирт проще, там внутри…

Либвирт очень продвинутая оболочка, но не более того.

Я про то что внутри ВМ, полноценный ящик (свое ядро со своим ип стеком), он ставит в той ОС в его iptables принимать только с сетки WG (хз какой там у него ip) и все.

P.S. Не к вам а так … до сих пор удивляюсь людям которые думают что бридж это уровень не л2 а л3.

Поставил «плюсик» за PS. :)

Очень удобная штука. В итоге быстро удалось понять, что

iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 47 packets, 4732 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            multiport dports 123,1194 redir ports 51820
   31  2070 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

до всяких правил докер берет и исполняет свои

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  br-5a1dd2d5018c *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 DNAT       tcp  --  !br-5a1dd2d5018c *       0.0.0.0/0            10.156.12.1          tcp dpt:80 to:172.19.0.2:80

Насколько я понимаю свой трафик бриджа он отбросит, а вот трафик от любого интерфейса, идущий на 10.156.12.1 (это wireguard vpn интерфейс) он пропустит к порту 80, перенаправив его на докер контейнер.

При этом для wireguard поведение по умолчанию все, что в дефолт роутинг прилетело, отправить на интерфейс 10.156.12.1. Во всяком случае для клиента так, думаю и для сервера тоже, коим и является эта машина. И цепочка получается такая eth0->default route->wg0->DOCKER->docker:80 В итоге VPN+docker открыли 80 порт наружу слившись в экстазе. Судя по всему простое решение сделать тип сети в docker = host, все упростится в сто раз и просто будет работать filter цепочка.

Но это если я верно понял то, что прочитал. Изучаю еще.

а потом я нашел это и прозрел https://docs.docker.com/network/packet-filtering-firewalls/

если у Вас wireguard своей жизнью живет, то как будет работать docker контейнер связанный с VPN сетью wireguard если остановить и старатануть wireguard ? Перезапускать docker контейнер? или связать интерфейс wg0 через независимый от docker и wireguard bridge?
точнее все будет зависимо, но должна быт очевидна логика, как система восстановит свою работу если ее ребутнуть полность, или ее подсистемы.

Это единственный вопрос мне не давал покоя после того как я прочитал Ваш первый пост.

Судя по всему мои теории были ложными. Я обнаружил, что то, что я проверял через dig @myip ya.ru отвечало потому, что у моего провайдера vps на этой же айпишнике сидит кто то еще и держит DNS сервер :) Уже написал им вопрос «какого хрена». У меня логирование трафика от этого сказочное, море его на моем eth0. 80 порт именно поэтому закрыт, а 53 загадочно был открыт, он открыт не у меня. Так что все обошлось проще чем я думал. Спасибо большое за помощь, трейсер прям очень помог.

Как такое возможно я не понимаю, вот их и спросил. Причем я просто снес VPS с нуля и попробовал, порт открыт.

)

потому, что у моего провайдера vps на этой же айпишнике сидит кто то еще

Погодите, у вашей VPS именно этот IP прописан? Если да, то когда вы её остановите этот ip продолжит быть доступным?

Именно так, вырубил

nmap -Pn -p 53 <myip>
Starting Nmap 7.80 ( https://nmap.org ) at 2023-08-12 17:13 CEST
Nmap scan report for mail0.zoxcompany.com (<myip>)
Host is up (0.0061s latency).

PORT   STATE SERVICE
53/tcp open  domain

Статус в админке провадера

Status 	Offline
IP Address 	<myip>

Такие дела.

Причем айпишник был в спам базах раньше, они написали владельцам базы, что бы убрали. Но оказывается, судя по всему он не зря там был :) Так как для меня это развлекалово, то разбираюсь с интересом и с ними переписываюсь. Но судя по всему для серьезного дела hostzealot.com плохой выбор :)

Именно так, вырубил

Ну значит он «не совсем» полностью ваш.

Вот, что они ответили

Hello,

Almost probably for this IP was set RDNS/PTR records as mail0.zoxcompany.com before you baying it. We now reset it.

DNS prograstination may take up to 24 hours.

Какое отношение это имеет к вашему:

Именно так, вырубил
nmap -Pn -p 53 <myip>
53/tcp open domain

? Вы точно правильно описали проблему хостеру? Или вы нам не правильно описали?

В смысле какое? Я сервер отключил с концами, пошел и снаружи отсканил айпишник, а на нем порт открыт.

Но вот какое отношение их ответ имеет к ситуации, не знаю. Может они так время тянут пока копают :)

В смысле какое? Я сервер отключил с концами, пошел и снаружи отсканил айпишник, а на нем порт открыт.

Повторю. Ну значит он «не совсем» полностью ваш.

За смену айпишника попросили денег. Там постоянный ддос на него с какого-то cgfv бота идет на DNS. Послал их нахер.

За смену айпишника попросили денег.

кмк вы не правильно изложили суть проблемы, собстно так же как и здесь.

Послал их нахер.

Тоже вариант.

Ну, если опишите как было бы правильно и что я должен еще узнать, буду признателен. Пока что я просто на амазоне подниму ноду, давно к ним не заходил.

Ну, если опишите как было бы правильно и что я должен еще узнать, буду признателен.

Выше уже написал два раза.