1. Forum
  2. FidoNet Russia
  3. RU.LINUX

  • Docker & Firewall

    From Oleg Nazaroff@2:50/700.700 to All on Thu Sep 4 15:08:39 2025
    Hello, All.

    Поправьте меня, ежели я не прав? Где-то читал, что докер умеет работать только с файрволлом, Е основанном на nftables.
    Как быть, если eсть только nftables??

    Условия: Debian 12, изменить на ufw - нельзя.

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Stanislav Vlasov@2:5080/172 to Oleg Nazaroff on Sat Sep 6 18:33:28 2025
    Привет, Oleg!

    04 Sep 25 15:08, Oleg Nazaroff -> All:

    Поправьте меня, ежели я не прав? Где-то читал, что докер умеет
    работать только с файрволлом, Е основанном на nftables. Как быть,
    если eсть только nftables??

    Сделать радикально -- запускать демона докера под юзером. Там сеть совершенно по-другому работает, не через файрволл (откуда у юзера права на файрволл?), а при помощи slirp и какой-то матери, если не путаю.

    Для разработки -- нормально. А для запуска на сервере -- проще выделить вм с правильным файрволлом.

    С наилучшими пожеланиями, Stanislav.

    --- -.-.-.-.-.-
    * Origin: _-_-_-_-_- (2:5080/172)
  • From Oleg Nazaroff@2:50/700.700 to Stanislav Vlasov on Sat Sep 6 18:00:18 2025
    Hello, Stanislav Vlasov.
    On 06.09.2025 18:33 you wrote:

    Сделать радикально -- запускать демона докера под юзером. Там сеть совершенно по-другому
    работает, не через файрволл (откуда у юзера права на файрволл?), а при помощи slirp и какой-то
    матери, если не путаю. Для разработки -- нормально. А для запуска на сервере -- проще выделить
    вм с правильным файрволлом.

    Правильным у демьянологов считается как раз именно nftables почему-то..;)
    о так как ты пишешь не покатит. Либо как-то вроде можно nft-ipt юзать, транслятор одного в другое, либо podman, либо я хз что еще... Под докером собсна, у меня там только joplin крутится. Попробовать его поставить без докера штоль? В чем-то там был цимес именно докера, надо свои записи поднять..

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Stanislav Vlasov@2:5080/172 to Oleg Nazaroff on Mon Sep 8 11:28:00 2025
    Привет, Oleg!

    06 Sep 25 18:00, Oleg Nazaroff -> Stanislav Vlasov:

    Сделать радикально -- запускать демона докера под юзером. Там
    сеть совершенно по-другому работает, не через файрволл (откуда у
    юзера права на файрволл?), а при помощи slirp и какой-то матери,
    если не путаю. Для разработки -- нормально. А для запуска на
    сервере -- проще выделить вм с правильным файрволлом.

    Правильным у демьянологов считается как раз именно nftables
    почему-то..;)

    Потому что исторически сложилось -- работа под юзером сделана сильно позднее собственно докера.

    о так как ты пишешь не покатит.

    Причины? УМВР на рабочем месте :-)

    С наилучшими пожеланиями, Stanislav.

    --- -.-.-.-.-.-
    * Origin: _-_-_-_-_- (2:5080/172)
  • From Oleg Nazaroff@2:50/700.700 to Stanislav Vlasov on Mon Sep 8 10:12:45 2025
    Hello, Stanislav Vlasov.
    On 08.09.2025 11:28 you wrote:

    Потому что исторически сложилось -- работа под юзером сделана сильно позднее собственно
    докера. Причины? УМВР на рабочем месте :-)

    Да там все просто - на вм стоит yunohost, и им вдрух приспичил апгрейд с переходом на nftables. А меня (внезапно!) держит докер. Из под которого даже нода уже выведена и остался только жоплин. А переставлять однажды хорошо настроенный сервер я ой как не люблю..
    И все (а я не только тут спрашивал) советы - не по делу, никто видно с докером глубже его юзания и не работал.. а мне интересен именно переход с iptables на nftables, а не изначальная настройка на nftables. И мой вариант решения покамест - убрать слабое звено (докер) вообще. Потом можно пробовать поставить его заново.. но жоплина я лишаться не хочу!
    И не апгрейдиться совсем я не могу. И убрать yunohost тоже не могу, это равносильно постройке сервака с нуля, а потом все те же траблы..

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Anton Gorlov@2:5059/37 to Oleg Nazaroff on Tue Sep 9 23:53:24 2025
    Привет Oleg!

    08 сен 25 года (а было тогда 10:12)
    Oleg Nazaroff в своем письме к Stanislav Vlasov писал:

    все (а я не только тут спрашивал) советы - не по делу, никто видно с докером глубже его юзания и не работал.. а мне интересен именно
    переход с iptables на nftables, а не изначальная настройка на
    nftables.

    Так можно же и дальше использовать iptables вместо новомодного nft. Причём вполне штатно


    С уважением. Anton aka Stalker

    Linux Registered User #386476
    [#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
    --- GoldED+/LNX 1.1.5-b20230304
    * Origin: Omnia mea mecum porto (2:5059/37)
  • From Oleg Nazaroff@2:50/700.700 to Anton Gorlov on Wed Sep 10 01:24:24 2025
    Hello, Anton Gorlov.
    On 09.09.2025 23:53 you wrote:

    Так можно же и дальше использовать iptables вместо новомодного nft. Причём вполне штатно

    Как?

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Anton Gorlov@2:5059/37 to Oleg Nazaroff on Wed Sep 10 13:41:08 2025
    Привет Oleg!

    10 сен 25 года (а было тогда 01:24)
    Oleg Nazaroff в своем письме к Anton Gorlov писал:


    Так можно же и дальше использовать iptables вместо новомодного
    nft. Причём вполне штатно
    Как?

    https://wiki.debian.org/iptables

    Switching to the legacy version:

    # update-alternatives --set iptables /usr/sbin/iptables-legacy
    # update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
    # update-alternatives --set arptables /usr/sbin/arptables-legacy
    # update-alternatives --set ebtables /usr/sbin/ebtables-legacy


    С уважением. Anton aka Stalker

    Linux Registered User #386476
    [#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
    --- GoldED+/LNX 1.1.5-b20230304
    * Origin: In pivo veritas (2:5059/37)
  • From Oleg Nazaroff@2:50/700.700 to Anton Gorlov on Wed Sep 10 16:27:28 2025
    Hello, Anton Gorlov.
    On 10.09.2025 13:41 you wrote:

    https://wiki.debian.org/iptables

    е, это щаз так. У меня поверх yunohost стоит, вот крайний апдейт вводит nft, безоткатно..

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Anton Gorlov@2:5059/37 to Oleg Nazaroff on Sat Sep 13 10:27:16 2025
    Привет Oleg!

    10 сен 25 года (а было тогда 16:27)
    Oleg Nazaroff в своем письме к Anton Gorlov писал:


    https://wiki.debian.org/iptables
    е, это щаз так. У меня поверх yunohost стоит, вот крайний апдейт
    вводит nft, безоткатно..

    у так все вопросы к этому yunohost. В нативном deb, даже в 13 iptables-legacy вполне себе работает.

    Хз что это. Почитав по диагонали - нечто для установки чего-то там методом тыка мышкой?
    Очередное ненужное ненужно.

    В любом случае все вопросы к этому поделию и его аффторам,а не к эхотагу.


    С уважением. Anton aka Stalker

    Linux Registered User #386476
    [#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
    --- GoldED+/LNX 1.1.5-b20230304
    * Origin: Omnia mea mecum porto (2:5059/37)
  • From Oleg Nazaroff@2:50/700.700 to Anton Gorlov on Sat Sep 13 21:28:02 2025
    Hello, Anton Gorlov.
    On 13.09.2025 10:27 you wrote:

    у так все вопросы к этому yunohost. В нативном deb, даже в 13 iptables-legacy вполне себе
    работает. Хз что это. Почитав по диагонали - нечто для установки чего-то там методом тыка
    мышкой? Очередное ненужное ненужно.

    Так мой вопрос был совсем другим, зачем за уши натягивать ответ по _своим_ условиям? Так-то у меня есть зоопарк и на японском, там по диагонали совсем смысл другой выйдет, раз с французским такая нечта выходит вместо банального "selfhost dockered apps"..
    Я ж не спрашиваю как мне работать с юнохостом и не планирую объяснять больше одного раза зачем он мне - в РФ его знает 1/е3% линуксоидов, вопрос-то был банальным - докер, живший на iptables переползает под nftables (ваще похер зачем) и что с этим можно грамотно сделать.
    о нет, на вопрос "как удалить занозу из ягодицы" получаем ответ "отрезать ногу по колено - нам на костылях так удобно!"

    В любом случае все вопросы к этому поделию и его аффторам,а не к эхотагу.

    Вопрос был к знанию, а не к догадкам. Я поступил просто - смоделировал ситуацию на другой vm, раскатав свой бэкап. И "ненужное вам ненужно" само подсказало куда и как именно плыть. И нет, докер сам так и не умеет жить под nftables, и уж тем более мигрировать своими рулсами на другой файрвол. Поговаривают что уже года три как должен, но так и не едет.

    --
    WBR, ON
    --- ХотДог/2.14.5/Android
    * Origin: Somewhere at Russia, in the hut on chicken legs... (2:50/700.700)
  • From Dmitry Protasoff@2:5001/100.1 to Oleg Nazaroff on Wed Sep 17 17:47:10 2025
    Hello, Oleg!

    Saturday September 13 2025 21:28, you wrote to Anton Gorlov:

    Так мой вопрос был совсем другим, зачем за уши натягивать ответ по
    _своим_ условиям? Так-то у меня есть зоопарк и на японском, там по

    Hазаров, ты со своими пьяными ламеро-истериками и размазыванием дерьма по монитору - подзадолбал.

    вам ненужно" само подсказало куда и как именно плыть. И нет, докер сам
    так и не умеет жить под nftables, и уж тем более мигрировать своими

    Еще как умеет.

    Hе знаешь - сиди учи матчасть, ламо.

    Best regards,
    dp.

    --- GoldED+/OSX 1.1.5-b20250409
    * Origin: All is good in St. John's Wood (2:5001/100.1)