Mon pare-feu bloque les connexions réseau à partir du panneau de conteneurs à l'extérieur

Pour moi, c'est un très standard de l'installation, j'ai eu une machine ubuntu exécution de docker et ufw que mon pare-feu.

Si mon pare-feu est d'activer le support des instances est impossible de se connecter à l'extérieur de

$ docker run -i -t ubuntu /bin/bash
WARNING:  Docker detected local DNS server on resolv.conf. Using default external servers: [8.8.8.8 8.8.4.4]
root@d300c5f17207:/# apt-get update
Err http://archive.ubuntu.com precise InRelease
0% [Connecting to archive.ubuntu.com]
W: Failed to fetch http://archive.ubuntu.com/ubuntu/dists/precise/InRelease  
W: Failed to fetch http://archive.ubuntu.com/ubuntu/dists/precise/Release.gpg  Temporary failure resolving 'archive.ubuntu.com'
W: Some index files failed to download. They have been ignored, or old ones used instead.

Ici est la ufw journal présentant les connexions bloquées à partir du conteneur docker.

$ sudo tail /var/log/ufw.log
Jun 30 15:41:56 localhost kernel: [61609.503199] [UFW BLOCK] IN=testbr0 OUT=eth0 PHYSIN=veth8Rj8Nh MAC=fe:ff:ed:42:b0:01:0a:7c:42:7c:a6:72:08:00 SRC=172.16.42.2 DST=8.8.8.8 LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=14886 DF PROTO=UDP SPT=60192 DPT=53 LEN=44 
Jun 30 15:42:01 localhost kernel: [61614.500867] [UFW BLOCK] IN=testbr0 OUT=eth0 PHYSIN=veth8Rj8Nh MAC=fe:ff:ed:42:b0:01:0a:7c:42:7c:a6:72:08:00 SRC=172.16.42.2 DST=8.8.4.4 LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=16137 DF PROTO=UDP SPT=44812 DPT=53 LEN=44 
Jun 30 15:42:06 localhost kernel: [61619.498516] [UFW BLOCK] IN=testbr0 OUT=eth0 PHYSIN=veth8Rj8Nh MAC=fe:ff:ed:42:b0:01:0a:7c:42:7c:a6:72:08:00 SRC=172.16.42.2 DST=8.8.8.8 LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=14887 DF PROTO=UDP SPT=60192 DPT=53 LEN=44

J'avais essayer d'ajouter une règle à l'aide de la propriété intellectuelle.

$ sudo ufw allow in from 172.16.42.2
$ sudo ufw allow out from 172.16.42.2

Et n'ont pas de changement est toujours bloqué.

Comment puis-je esily autoriser toutes les connexions à partir du conteneur à l'extérieur avec une ufw règle?

OriginalL'auteur Mario César | 2013-06-30

  1. 7

    Peut-être cela est dû à la version actuelle, mais la réponse actuelle ne fonctionne pas sur mon système (menu fixe 0.7.2 avec la base de Ubuntu image).

    La solution est expliquée ici, dans l'officiel Docker documentation.

    Pour les paresseux:

    • modifier /etc/default/ufw de changer DEFAULT_FORWARD_POLICY's de la valeur à "ACCEPT",
    • recharger avec [sudo] ufw reload.

    Cela garantit ufw avant votre trafic vers le Panneau de la passerelle réseau (comme de ma compréhension actuelle de ces choses...).

    Ce n'est plus suffisamment de solution pour les plus récentes docker versions sur ufw.

    OriginalL'auteur rchampourlier

  2. 16

    Modifier /etc/ufw/before.rules comme suit:

    Dans le *filtre de section, après le premier bloc de lignes requises, ajouter:

    # docker rules to enable external network access from the container
# forward traffic accross the bridge 
-A ufw-before-forward -i docker0 -j ACCEPT
-A ufw-before-forward -i testbr0 -j ACCEPT
-A ufw-before-forward -m state --state RELATED,ESTABLISHED -j ACCEPT

    À la fin du fichier, après la ligne qui dit COMMIT, ajoutez la section suivante:

    *nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 172.16.42.0/8 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

    Après avoir enregistré le fichier, redémarrez ufw avec sudo ufw disable && sudo ufw enable

    Merci, Franchu, ce n'. Il serait bien si vous pouviez expliquer la signification de tous ces paramètres, enfin, signifie (pour moi c'est pas vraiment évident).
    après s'ENGAGER ? ils sont donc 2 s'ENGAGER à droite ?

    OriginalL'auteur Franchu

  3. 15

    Ce qu'il est corrigé pour moi:

     ufw allow in on docker0
    Cela a fonctionné pour moi aussi, alors je pense que la première étape est également nécessaire, comme rchampourlier l'a souligné dans sa réponse: réglage de la ufw DEFAULT_FORWARD_POLICY de la valeur à "ACCEPTER" .
    Mise à jour: Désolé, mon commentaire ci-dessus est faux. Seulement Franchus solution a fonctionné enfin, bien sûr, avec rchampourliers solution (j'ai testé d'abord j'ai un mauvais environnement)
    J'ai fait un permettre sur docker_gwbridge qui est ce que le ufw block lignes dans syslog ont été la production de rapports. Depuis que j'ai seulement voulu postgres, c'était: $ sudo ufw allow in on docker_gwbridge to any port 5432 ` Règle " Règle ajoutée ajoutée (v6) ``

    OriginalL'auteur Bryan Larsen

  4. -2

    Êtes-vous sûr que ufw autoriser la connexion sur le port concerné ?

    Je ne sais pas maintenant ce port est le blocage, ou comment ufw est bloque.

    OriginalL'auteur marshallino16