
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=koi8-r">

</head>

<body>

<div dir="auto">

<div><br>

<div class="gmail_extra"><br>

<div class="gmail_quote">18 янв. 2017 г. 9:49 AM пользователь Andrey Vagin &lt;avagin@virtuozzo.com&gt; написал:<br type="attribution">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div><font size="2"><span style="font-size:10pt"></span></font>

<div>On Tue, Jan 17, 2017 at 11:01:29PM -0800, Stanislav Kinsburskiy wrote:<br>

&gt; <br>

&gt; <br>

&gt; 18 янв. 2017 г. 4:31 AM пользователь Andrey Vagin &lt;avagin@virtuozzo.com&gt;<br>

&gt; написал:<br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; On Tue, Jan 17, 2017 at 12:08:18PM -0800, Stanislav Kinsburskiy wrote:<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; 17 янв. 2017 г. 9:05 PM пользователь Andrey Vagin &lt;avagin@virtuozzo.com&gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; написал:<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; On Mon, Jan 16, 2017 at 07:04:50PM &#43;0300, Stanislav Kinsburskiy<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; wrote:<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; The intention of commit 61b8fc264f55e15dea90350834a50d551d33bffa<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; was to<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; drop<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; local traffic only.<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; But there was a side effect: iptables rules were blocking all the<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; traffic<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; including external communication.<br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; The intention of my commit wat to block all traffic to not think how to<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; block it externally...<br>

&gt; <br>

&gt; <br>

&gt; Well, I see.<br>

&gt; Sad, that commit message explains it differently.<br>

&gt; <br>

&gt; <br>

&gt; <br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; While it's not a big problem by itself, it significantly<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; complicates<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; external<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; communication when needed (say, in case of NFS files), because<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; forces one<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; to<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; unmask NFS routes within container.<br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; How are you going to block all external traffic except nfs?<br>

&gt; <br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

<div dir="auto"><br>

</div>

<div dir="auto">I don't. P.haul does.</div>

<div dir="auto">Curently via iface down.</div>

<div dir="auto">Will be replaced by drop via ebtables on host.</div>

<div dir="auto"><br>

</div>

<div dir="auto">

<div class="gmail_extra">

<div class="gmail_quote">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div>&gt; <br>

&gt; Simply block all the external traffic. Then unmask routes for NFS ports by<br>

&gt; server IP. One by one.<br>

<br>

A container can use veth which is connected to a bridge. In this case<br>

veth can be disconned of connected to the bridge. How are you going to<br>

filter NFS traffic in this case?<br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

<div dir="auto"><br>

</div>

<div dir="auto">Disconnected or connected when?</div>

<div dir="auto">During dump?</div>

<div dir="auto"><br>

</div>

<div dir="auto">

<div class="gmail_extra">

<div class="gmail_quote">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div><br>

&gt; <br>

&gt; <br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; Let's get rid of this side effect by limiting rules to loopback<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; interface.<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; External traffic blocking is controlled outside containers anyway.<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; * Does it controlled for venet?<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; Sorry, I don't understand the question.<br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; How do we block traffic which go via venet?<br>

&gt; <br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

<div dir="auto"><br>

</div>

<div dir="auto">On host via iptables.</div>

<div dir="auto"><br>

</div>

<div dir="auto">

<div class="gmail_extra">

<div class="gmail_quote">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div>&gt; <br>

&gt; This one is considered as external, and has to be blocked elsewhere.<br>

&gt; <br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; * Both ends of a local tcp connection can be bond to an ip address<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (which is set to any interface). I am not sure that this hack will<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; work for this case.<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; Well, I was assured, that even it this case traffic is considered as<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; local, and<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; transfered via loopback.<br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; Yes, you are right, I've checked. But this patch will break Docker,<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; because it doesn't block traffic externally.<br>

&gt; <br>

&gt; <br>

&gt; But it should, isn't it?<br>

<br>

According to my plan it should not ;). But the plan may be wrong. Anyway<br>

it breaks backward compatibility and we need to add an option to block<br>

network by this way.<br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

<div dir="auto"><br>

</div>

<div dir="auto">Current solution doesn't block packets delivery to tcpdump (Packet sockets, to be precise) within container. Otherwise it would be perfect.</div>

<div dir="auto"><br>

</div>

<div dir="auto">

<div class="gmail_extra">

<div class="gmail_quote">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div><br>

Actually I am not sure that it will help you to solve a problem with<br>

nfs...<br>

</div>

</div>

</blockquote>

</div>

</div>

</div>

<div dir="auto"><br>

</div>

<div dir="auto">Problem with NFS can be solved without this patch.</div>

<div dir="auto">The intention of the patch is to bring logic, mentioned in the comment, to the code.</div>

<div dir="auto">And also simplify NFS unmasking.</div>

<div dir="auto">Nevetheless, this patch is not an essential one.</div>

<div dir="auto">If it breaks Docker, then, probably, it doesn'tmake much sense to take it.</div>

<div dir="auto"><br>

</div>

<div dir="auto">

<div class="gmail_extra">

<div class="gmail_quote">

<blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div><br>

&gt; <br>

&gt; <br>

&gt; <br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; Signed-off-by: Stanislav Kinsburskiy &lt;skinsbursky@virtuozzo.com&gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; ---<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp; criu/net.c |&nbsp;&nbsp;&nbsp; 8 &#43;&#43;&#43;&#43;----<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp; 1 file changed, 4 insertions(&#43;), 4 deletions(-)<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; diff --git a/criu/net.c b/criu/net.c<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; index 080c617..d75c9fa 100644<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; --- a/criu/net.c<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; &#43;&#43;&#43; b/criu/net.c<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; @@ -1547,8 &#43;1547,8 @@ static int network_lock_internal()<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp; {<!-- --><br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; char conf[] =&nbsp;&nbsp; &quot;*filter\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;:CRIU - [0:0]\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-I INPUT -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-I OUTPUT -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; &#43;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-I INPUT -i lo -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; &#43;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-I OUTPUT -o lo -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-A CRIU -j DROP\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;COMMIT\n&quot;;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; int ret = 0, nsret;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; @@ -1571,8 &#43;1571,8 @@ static int network_unlock_internal()<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp; {<!-- --><br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; char conf[] =&nbsp;&nbsp; &quot;*filter\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;:CRIU - [0:0]\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-D INPUT -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-D OUTPUT -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; &#43;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-D INPUT -i lo -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt; &#43;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-D OUTPUT -o lo -j CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;-X CRIU\n&quot;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &quot;COMMIT\n&quot;;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; int ret = 0, nsret;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp; &gt;<br>

&gt; <br>

&gt; <br>

</div>

</div>

</blockquote>

</div>

<br>

</div>

</div>

</div>

</body>

</html>