Follow

Ta mère le firewall.

Oui, c'est grossier.

J'autorise 10.244.0.0/16 et ce con bloque encore mes requêtes en 10.244.x.x.

Une idée ?

J'ai trouvé: j'avais effectivement une autre règle à la con.

J'suis vraiment un boulet.

Ah bah nan, même en autorisant un gros /8 bien sale, ça change rien.

Ah bah voilà ! Il bloque par défaut les règles routées (routed ?). Suffit d'activer.

@dada Les priorités entre tes règles de pare-feu ?

@gnppn hum ? Je me sers de ufw. Je ne sais pas si il y a des histoires de priorité. Je n'ai pas d'autre règles sur ce range...

@dada Ah je pensais que tu avais une règle sur 10.244.x.x. Je ne sais pas alors.

@valere @gnppn je veux autoriser 10.244.x.x. C'est quand même pas la fin du monde, si ? :(

@dada Tu es sûr d'avoir mis un /16 ?
Une autre règle qui prend le dessus ?
@gnppn

@Armageddon @gnppn Par défaut, j'autorise toutes les sorties et interdis les entrées

@dada
Il n'y a pas d'autres règles que celles par défaut ? 🤔
C'est quoi ton fw ?
@gnppn

@dada Tu autorises une source mais pas une destination peut être ?

Ou alors tu as mis ta règle qui autorise avec un -A et du coup elle est ajoutée à la fin derrière la règle qui drop ?

@victorhery

### tuple ### allow any any 0.0.0.0/0 any 10.0.0.0/8 in
-A ufw-user-input -s 10.0.0.0/8 -j ACCEPT

?

@dada Tente de rajouter avec -I plutôt ? Le -A ajoute à la fin des règles du coup s'il y a un DROP quelque part avant, ça chie

Le -I va insérer par défaut au tout début, du coup la règle devrait matcher en tout premier, vu que iptables est séquentiel l'ordre est important

Au pire, un iptables -I INPUT -s 0.0.0.0/0 -d 10.0.0.0/8 -j ACCEPT

Directement dans la table INPUT comme un sac pour tester ^^"

@victorhery Nan, ça ne change rien :/

Par contre, j'ai l'impression que c'est ufw qui déconne. Sur d'autres nodes, flannel n'est pas bloqué

@dada Alors là j'avoue.... J'ai pas tenté la chance d'utiliser ufw, avec k8s on le désactive, on laisse k8s gérer ses propres règles, avec un peu de pare-feu à la mano pour limiter les accès API ^^"

@dada Autoriser 10.0.0.0/8, ce n'est pas sale. Tu fais ce que tu veux tes IPs 🤔

😃

@Shaft Non, ce n'est pas sale. C'est juste que ton corps change.
@dada

@Shaft Et, de temps en temps, tu pourras avoir des pollutions de ports nocturnes. Mais tant que tu gardes une bonne hygiène numérique, ça devrait bien se passer
@dada

Sign in to participate in the conversation
Diaspodon

Instance majoritairement francophone. Nous ne régulons la fédération. Aucun contenu du fédiverse n'est filtré par une décision d'administrateur ou de modérateur.