GM
я ссылку выше давал там все есть
Size: a a a
2019 September 04
VR
как это решит мою проблему
GM
и несколько тысяч страниц документации
GM
твою проблему вообще ничего не решить если ничего не делать
GM
а варианта ровно два
написать много кода
купить готовое решение
написать много кода
купить готовое решение
GM
есть tungstenfabric - решает все твои задачи. но управлялку тебе придется написать если ты не юзаешь кубер, докер, вмваре или опенстак
GM
вместо этого тот же calico(это не кубернетис онли ни разу)
GM
но лучше не становится
VR
вместо этого тот же calico(это не кубернетис онли ни разу)
а зачем оно ?
поднять оверлей над сетью вмваре поверх vxlan ?
поднять оверлей над сетью вмваре поверх vxlan ?
VR
хм, ок
про тенгестен фабрику почитаю
суть вопроса какая:
- firewalld рассматривают зону, как конкретный сетевой интефейс.
у меня docker-compose - я не знаю как назовут этот самый интерфейс - им доверять надо.
хотя бы внутри локалхоста.
при этом я не могу заблочить доступ снаружи к моему порту, т.к. docker ставит свои правила раньше моих запрещающих (iptables = false - существенное ограничение разработки, нафиг)
- nftables в качестве зоны рассматривает протокол - тоже не круто.
я ищу решение, которое понимает зоны на одном(или разных) интерфейсах двух типов:
- набор портов
- набор IP
про тенгестен фабрику почитаю
суть вопроса какая:
- firewalld рассматривают зону, как конкретный сетевой интефейс.
у меня docker-compose - я не знаю как назовут этот самый интерфейс - им доверять надо.
хотя бы внутри локалхоста.
при этом я не могу заблочить доступ снаружи к моему порту, т.к. docker ставит свои правила раньше моих запрещающих (iptables = false - существенное ограничение разработки, нафиг)
- nftables в качестве зоны рассматривает протокол - тоже не круто.
я ищу решение, которое понимает зоны на одном(или разных) интерфейсах двух типов:
- набор портов
- набор IP
GM
а зачем оно ?
поднять оверлей над сетью вмваре поверх vxlan ?
поднять оверлей над сетью вмваре поверх vxlan ?
ну если очень просто в двух словах то там можно нарезать будет vxlan на сервисы или группы сервисов, но опять же нужен оркестратор.
GM
а то что ты пишешь интересно конечно, но я подобного не встречал, вообще будет время поищу на гитхабе что нибудь
VR
ну если очень просто в двух словах то там можно нарезать будет vxlan на сервисы или группы сервисов, но опять же нужен оркестратор.
просто на любом конфигураторе нафигачить набор iptables правил, которые реализуют зоны как мне нужно.
я удивлён, что этого нет в паблике.
я удивлён, что этого нет в паблике.
GM
оно может и есть, но это найти надо, часто делаешь велосипед, а потом хобана на гитхабе проект пилят 5 лет уже и оно продакшен реди
VR
проблема в том, что такое быстрее напилить.
просто я читаю про очередную реализацию файрвола и удивляюсь, что никто не решает реальных проблем.
это больше какой-то странный способ решить несуществущую сложность iptables.
при этом я не понимаю - мне вот серьёзно надо отключать штатный механизм работы firewalld в rhel-like?
(что ведёт меня к проблемам при развёртывании)
просто я читаю про очередную реализацию файрвола и удивляюсь, что никто не решает реальных проблем.
это больше какой-то странный способ решить несуществущую сложность iptables.
при этом я не понимаю - мне вот серьёзно надо отключать штатный механизм работы firewalld в rhel-like?
(что ведёт меня к проблемам при развёртывании)
VR
а работать через rich-rules - говнокод вокруг двух дистров - проще отрубить все "умничанья" и работать через iptables, который _одинаково_ работает в обоих дистрах.
GM
про firewalld вообще непонятно много, вот ща рхел перекатывается на podman, а оно все равно заточено под Iptables чистый -_-
VR
подман - про контейнеры вроде, не ?
GM
ну замена докера от редхата
VR
в том и вопрос - нет концепции
вывод - отрубаем все утилиты - настраиваем вручную
но перестают работать все правила внутри rpm/dpkg пакетов - это не гут.
вывод - отрубаем все утилиты - настраиваем вручную
но перестают работать все правила внутри rpm/dpkg пакетов - это не гут.