Как исправить конфигурацию firewalld и docker/nginx?

У меня есть сервер CentOS 7, который успешно работал более 600 дней, пока не был недавно перезагружен, после чего входящие веб-запросы получали коды ошибок HTTP523 (Origin Is Unreachable) (через Cloudflare, если это имеет значение?), если я не остановил firewalld услуга. Все работает нормально без firewalld, но я бы не хотел оставлять его отключенным!

Я пробовал останавливать docker и firewalld и перезапускать их в различных последовательностях, но возникает та же ошибка 523, пока я не остановлю firewalld.

/var/log/firewalld содержит несколько предупреждений, которые могут помочь:

WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-8acb606a3b50 -o br-8acb606a3b50 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?).
WARNING: AllowZoneDrifting is enabled. This is considered a n insecure configuration option. It will be removed in a future release. Please consider disabling it now.
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING -m addrtype --dst-type LOCAL -j DOCKER' failed: iptables v1.4.21: Couldn't load target 'DOCKER':No such file or directory
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D PREROUTING' failed: iptables: Bad rule (does a matching rule exist in that chain?).
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -D OUTPUT' failed: iptables: Bad rule (does a matching rule exist in that chain?)
WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t nat -F DOCKER' failed: iptables: No chain/target/match by that name.

Я нашел, казалось бы, противоречивые советы относительно любой требуемой ручной настройки/команд:

firewall-cmd --permanent --zone=trusted --add-interface=docker0 на форуме CentOS
firewall-cmd --zone=trusted --remove-interface=docker0 --permanent в официальной документации Docker — это, конечно, противоположность над?
куча ручных firewall-cmd команд по проблеме с Docker на github - конечно это все не обязательно?
этот выглядит многообещающе — nmcli, NetworkManager и firewall-cmd --permanent --zone=trusted --change-interface=docker0

Я не совсем понимаю, откуда берется интерфейс br-8acb606a3b50, и нужно ли мне что-то делать для его настройки, а также docker0, если я использую решение, подобное 4. выше? Все работало нормально автоматически в течение многих лет до перезагрузки!

Требуются ли теперь какие-то магические заклинания firewalld (и почему?!), или я могу каким-то образом заставить систему вернуться к правильной автоматической конфигурации/конфигурации по умолчанию, в которой она была до перезагрузки?

$ docker -v
Docker version 20.10.5, build 55c4c88
$ firewall-cmd --version
0.6.3
$ firewall-cmd --get-zones
block dmz docker drop external home internal public trusted work

11.03.2021

Какая у вас версия Докера? Пожалуйста, также добавьте то, что показывает firewall-cmd --get-zones. 24.03.2021
К вопросу добавлены данные версии/зоны, спасибо 24.03.2021
Что такое минорная версия CentOS? В 7.2, 7.3 была ошибка, которая была исправлена в какой-то момент после 7.4. Вот объяснение и возможные исправления 1 2 25.03.2021
/etc/redhat-release говорит CentOS Linux release 7.9.2009 (Core) 25.03.2021
Странно тогда. Симптомы аналогичны описанным в решении 4. При запуске Docker вместе с firewalld он должен добавить все свои интерфейсы («docker0», «br-8acb606a3b50» и т. д.) в зону firewalld «docker». У вас есть зона, но почему-то в iptables до сих пор нет цепочки DOCKER («Нет цепочки/цели/совпадения с таким именем»). Посмотрим, где находится интерфейс docker0: firewall-cmd --get-zone-of-interface=docker0 25.03.2021
Хорошо, две последние вещи: nmcli connection show docker0 | grep zone и ls /etc/sysconfig/network-scripts/ifcfg-*. Если первый ничего не возвращает, а во втором вы не видите docker0, я предлагаю вам решение 4. 25.03.2021
Давайте продолжим это обсуждение в чате. 25.03.2021

Ответы:

Подводя итог расследованию чата, эта конкретная проблема не была связана с Docker и контейнеры. Проблема заключалась в том, что у firewalld не было правил для NGINX, работающих в качестве прокси для контейнеров на хосте. Решение состояло в том, чтобы добавить постоянные правила firewalld для трафика HTTP и HTTPS:

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

Предупреждающие сообщения, подобные этому:

ПРЕДУПРЕЖДЕНИЕ: COMMAND_FAILED: '/usr/sbin/iptables -w10 -D FORWARD -i br-8acb606a3b50 -o br-8acb606a3b50 -j DROP' не удалось: iptables: Плохое правило (существует ли соответствующее правило в этой цепочке?)

... может появляться при нормальной работе, когда Docker пытается удалить правило, не проверив сначала его существование. Другими словами, контейнеры могут работать без сбоев даже при наличии подобных предупреждений.

31.03.2021

У меня были некоторые похожие проблемы с Podman, и мне пришлось перейти с Debian 9 на Debian 10, чтобы исправить это, из-за того, как firewalld обрабатывает iptables по сравнению с nftables.

15.03.2021

Я не могу представить, чтобы эту проблему невозможно было решить без обновления ОС! 15.03.2021

@DrMeers На мой взгляд, вы можете обновить ОС и убедиться, что она решает вашу проблему. 24.03.2021

Окончание срока службы CentOS 7 не раньше 30 июня 2024 г. 25.03.2021

Новые материалы

Кластеризация: более глубокий взгляд

Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..

Как написать эффективное резюме

Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..

Частный метод Python: улучшение инкапсуляции и безопасности

Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..

Как я автоматизирую тестирование с помощью Jest

Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..

Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)

Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..

Понимание расстояния Вассерштейна: мощная метрика в машинном обучении

В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..

Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot

В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..

Machine Learning JavaScript Blockchain Artificial Intelligence Data Science Cryptocurrency Software Development Python Web Development Coding Deep Learning AI Bitcoin React Software Engineering Ethereum Web3 Business Crypto Nodejs Solidity Development Front End Development Data Finance Money Java Trading Typescript Smart Contracts Productivity Tech Startup Investing Neural Networks Developer Computer Science NLP