Accès HTTP sélectif
Bonjour,
Sur mon serveur, j'ai un certain nombre de conteneurs LXC. Chacun a une
configuration réseau en 192.168.1.0/24. Mon LAN est dans la même configuration.
Mon serveur (son interface physique) également.
Sur mon serveur, j'ai une configuration iptables (via shorewall) qui limite les
échanges au strict nécessaire depuis le LAN vers les conteneurs. En revanche,
des conteneurs vers le LAN et Internet, aucune limitation.
À l'intérieur des conteneurs, je suis confronté à un comportement étrange,
illustré par l'exemple :
$ wget --server-response http://www.debian.org -O /dev/null
--2016-02-13 12:53:22-- http://www.debian.org/
Résolution de www.debian.org (www.debian.org)… 130.89.148.14, 5.153.231.4, 2001:41c8:1000:21::21:4, ...
Connexion à www.debian.org (www.debian.org)|130.89.148.14|:80… connecté.
requête HTTP transmise, en attente de la réponse…
HTTP/1.1 200 OK
Date: Sat, 13 Feb 2016 11:53:24 GMT
Server: Apache
Content-Location: index.en.html
Vary: negotiate,accept-language,Accept-Encoding
TCN: choice
Last-Modified: Sat, 13 Feb 2016 07:26:41 GMT
ETag: "3bc8-52ba1b4827f6d"
Accept-Ranges: bytes
Content-Length: 15304
Cache-Control: max-age=86400
Expires: Sun, 14 Feb 2016 11:53:24 GMT
X-Clacks-Overhead: GNU Terry Pratchett
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Content-Language: en
Taille : 15304 (15K) [text/html]
Sauvegarde en : « /dev/null »
/dev/null 100%[========================================================================>] 14,95K --.-KB/s ds 0,05s
2016-02-13 12:53:23 (330 KB/s) — « /dev/null » sauvegardé [15304/15304]
$ wget --server-response http://www.github.com -O /dev/null
--2016-02-13 12:55:24-- http://www.github.com/
Résolution de www.github.com (www.github.com)… 192.30.252.130
Connexion à www.github.com (www.github.com)|192.30.252.130|:80… échec : Aucun chemin d'accès pour atteindre l'hôte cible.
Le conteneur parvient bien à contacter www.debian.org mais pas www.github.com
(ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres sont
inaccessibles).
J'ai arrêté shorewall (et vérifié que les règles iptables étaient vierges), mais
pas mieux…
Les mêmes commandes lancées directement depuis le serveur (hors conteneur donc)
passent sans problème.
Je suis preneur de toute piste.
Merci.
Sébastien
Reply to: