Toon posts:

docker op RHEL, geen connectie mogelijk naar extern netwerk

Pagina: 1
Acties:

Vraag

maandag 26 mei 2025 18:53

Acties:
  • 0 Henk 'm!
  • doopsuiker
  • Registratie: Juni 2009
  • Laatst online: 19:26

doopsuiker

Topicstarter
Dag Tweakers

Ik gebruik alle standaardinstellingen voor netwerken, maar een nieuw aangemaakte Docker Compose-container kan het internet niet bereiken in de netwerkbridgemodus. (De netwerkhostmodus werkt prima.) Ik zie geen verkeer op de eth0-interface, terwijl ik wel hetzelfde verkeer zie dat afkomstig is van de Docker-interfaces. Het lijkt erop dat er een NAT-regel of algemene FW-regel ontbreekt, maar voor zover ik weet zou de standaard Docker-configuratie deze moeten aanmaken bij het opstarten van de container.

Kan er mij iemand op weg helpen?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

[root@m-inf-nrl-a1-01 docker]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  312 28856 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  312 28856 DOCKER-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  !docker0 docker0  0.0.0.0/0            172.17.0.2           udp dpt:1621
    0     0 DROP       all  --  !br-f0b21bb04949 br-f0b21bb04949  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  !docker0 docker0  0.0.0.0/0            0.0.0.0/0

Chain DOCKER-BRIDGE (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DOCKER     all  --  *      br-f0b21bb04949  0.0.0.0/0            0.0.0.0/0
    0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0

Chain DOCKER-CT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      br-f0b21bb04949  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain DOCKER-FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination
  312 28856 DOCKER-CT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  312 28856 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  312 28856 DOCKER-BRIDGE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  br-f0b21bb04949 *       0.0.0.0/0            0.0.0.0/0
  312 28856 ACCEPT     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-f0b21bb04949 !br-f0b21bb04949  0.0.0.0/0            0.0.0.0/0
  312 28856 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      br-f0b21bb04949  0.0.0.0/0            0.0.0.0/0

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination
  312 28856 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

[root@m-inf-nrl-a1-01 docker]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere            !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        anywhere
MASQUERADE  all  --  172.18.0.0/16        anywhere

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
DNAT       udp  --  anywhere             anywhere             udp dpt:cmip-man to:172.17.0.2:1621

dns requests van de docker container, maar geen verkeer naar/vanaf eth0

16:05:18.658518 veth7835296 P   IP 172.17.0.2.53514 > 10.184.77.116.domain: 7284+ [1au] AAAA? insights-collector.newrelic.com. (60)
16:05:18.658518 veth7835296 P   IP 172.17.0.2.37497 > 10.184.77.116.domain: 62053+ [1au] A? insights-collector.newrelic.com. (60)
16:05:18.658518 docker0 In  IP 172.17.0.2.53514 > 10.184.77.116.domain: 7284+ [1au] AAAA? insights-collector.newrelic.com. (60)
16:05:18.658518 docker0 In  IP 172.17.0.2.37497 > 10.184.77.116.domain: 62053+ [1au] A? insights-collector.newrelic.com. (60)

docker compose.yaml
name: New-Relic
services:
    ktranslate:
        container_name: ktranslate-DOTA-DOCKER-COMPOSE-TEST
        restart: unless-stopped
        pull_policy: always
        ports:
            - 163:1621/udp
        volumes:
            - "/etc/docker/ktranslate-DOTA-DOCKER-COMPOSE-TEST/snmp-base.yaml:/snmp-base.yaml"
        environment:
            - NEW_RELIC_API_KEY=xxx
        image: kentik/ktranslate:v2
        command: -snmp /snmp-base.yaml -nr_account_id=xxx -metrics=jchf
            -tee_logs=true -service_name=ktranslate-DOTA-DOCKER-COMPOSE-TEST
            -snmp_discovery_on_start=true -snmp_discovery_min=180 nr1.snmp
        network_mode: bridge

Alle reacties

dinsdag 27 mei 2025 18:26

Acties:
  • 0 Henk 'm!
  • doopsuiker
  • Registratie: Juni 2009
  • Laatst online: 19:26

doopsuiker

Topicstarter
nftables strooide roet in het eten

dinsdag 27 mei 2025 19:09

Acties:
  • +1 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:12

Hero of Time

Moderator LNX

There is only one Legend

Maar nftables is de vervanger/opvolger van iptables.

Commandline FTW | Tweakt met mate

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq