Вопрос или проблема
У меня есть контейнер Linux, работающий на хосте macOS. На хосте работает VPN-клиент. Я могу получить доступ к машинам в сети VPN из моего контейнера Linux. Но я не могу переадресовать трафик, который поступает в VPN-клиент, в контейнер Linux. Я хотел бы получить HTTP Post запросы от клиента в сети VPN через VPN-клиент хоста на веб-сервер, работающий в контейнере Linux. Я попытался добавить маршрут, как этот:
ip route add 10.10.14.32 via 172.17.0.1
где 10.10.14.32 — это IP-адрес VPN-клиента на Mac, а 172.17.0.1 — шлюз сети контейнера Linux. Это не сработало. Я провел дальнейшие исследования с помощью ChatGPT. Причина, по которой трафик не направляется в мой контейнер Linux, заключается в том, что не применяется мое пользовательское правило в /etc/pf.conf. Вот строка, которую я добавил: rdr pass on utun9 proto tcp from any to 10.10.15.164 port 8001 -> 172.17.0.2 port 8001 Перезагрузка PF с помощью sudo pfctl -f /etc/pf.conf и проверка с помощью sudo pfctl -sr — пользовательское правило не отображается. Затем я попытался создать пользовательский файл якоря, содержащий пользовательское правило. Добавив эту строку: load anchor "custom" from "/etc/pf.anchors/custom" в /etc/pf.conf, снова перезагрузив конфигурационный файл. Проверил его, и пользовательское правило не отображается. Это показано при выполнении sudo pfctl -f /etc/pf.conf: pfctl: Использование параметра -f может привести к очистке правил, присутствующих в основном наборе правил, добавленных системой при запуске. См. /etc/pf.conf для получения дополнительных сведений. А это показано при выполнении sudo pfctl -sr: Нет поддержки ALTQ в ядре ALTQ связанные функции отключены scrub-anchor "com.apple/*" all fragment reassemble anchor "com.apple/*" all
Я просто открыл бы порт из контейнера Docker на хосте с помощью переключателя -p при запуске контейнера Docker. Насколько я знаю, когда вы это делаете, VPN не увидит это иначе, чем как сервис, работающий непосредственно на хосте (который связывает порт).
Если вас беспокоит открытие сервиса Docker в локальной сети, вы, вероятно, можете передать IP-адрес интерфейса VPN в переключатель -p, чтобы ограничить, какому IP-адресу будет привязан порт.
Ответ или решение
Настройка маршрутизации трафика VPN к Linux-контейнеру на macOS
Введение
Ваша задача заключается в маршрутизации HTTP-запросов, приходящих к VPN-клиенту на хосте macOS, на веб-сервер, работающий в Linux-контейнере. Вы уже установили VPN-клиент и получили доступ к машинам в сети VPN из контейнера. Однако, на пути к успешной маршрутизации возникают некоторые сложности.
Понимание ситуации
Как вы упомянули, вы пытались использовать команду маршрутизации ip route add для добавления маршрута, указывая IP-адрес VPN-клиента и шлюз контейнера. Однако, это не сработало. Причины могут быть следующие:
- Ошибка в настройках маршрутизации: Убедитесь, что IP-адрес VPN-клиента и адрес контейнера корректны.
- Правила Packet Filter (PF): Как вы отметили, ваши изменения в
/etc/pf.confне применяются, что является потенциальной причиной вашей проблемы.
Рекомендации по решению проблемы
-
Использование Docker-параметра
-p: Один из наиболее простых способов предоставить доступ к вашему веб-серверу из контейнера — это использовать параметр-p, когда вы запускаете Docker-контейнер. Например:docker run -d -p 8001:8001 ваш_образЭто обеспечит связывание порта 8001 вашего контейнера с портом 8001 на вашем хосте. Если ваш VPN-клиент рабочий, внешние запросы к
10.10.15.164:8001будут направлены на контейнер без дополнительных настроек маршрутизации. -
Настройка PF (Packet Filter):
Если вы предпочитаете сохранять контроль маршрутизации, необходимо убедиться, что правила PF загружаются корректно:
-
Убедитесь, что ваша конфигурация PF обновлена. Для добавления правила, редактируйте
/etc/pf.conf, добавив строку:rdr pass on utun9 proto tcp from any to 10.10.15.164 port 8001 -> 172.17.0.2 port 8001 -
Создайте анкор в
/etc/pf.anchors/custom, если вы хотите разделить правила. Включите анкор в/etc/pf.conf:load anchor "custom" from "/etc/pf.anchors/custom" -
Проверьте правильность синтаксиса с помощью:
sudo pfctl -f /etc/pf.conf -
После загрузки конфигурации следует перезапустить PF:
sudo pfctl -e
-
-
Проверка наличия правил:
Используйте команду для проверки, применяются ли ваши правила:
sudo pfctl -srУбедитесь, что ваше правило присутствует в выводе.
-
Проверка конфигурации VPN:
Убедитесь, что ваш VPN-клиент позволяет трафик на целевом IP и порту. Некоторые VPN могут иметь собственные правила брандмауэра, которые блокируют входящие или исходящие подключения.
Заключение
Обеспечение дальности доступа к веб-серверу в контейнере от VPN-трафика требует гармонии между настройками маршрутизации и PF. Использование Docker-параметра -p представляет собой простой способ управления доступом, в то время как более продвинутая настройка PF даст вам гибкость и контроль над маршрутизацией. Если у вас возникнут дополнительные сложности, всегда полезно обратиться к документации Docker и macOS сети, чтобы уточнить настройки, которые могут повлиять на ваш конкретный случай.