ComputerBase Menü
Aktuelles

Debian: Zweiter localhost (127.0.0.2) möglich, bzw. sinnvoll?

CyborgBeta schrieb:
Die statische ip ist vom www erreichbar.
Zum Vergrößern anklicken....
Hast du den Host als "DMZ" bzw. "exposed Host" im Router konfiguriert?
Beschreib mal dein Setup genauer, denn so wirklich verstehen tu ich auch nicht, was bei dir nun Sache ist.
https://www.xy-problem.de/
 
  • Gefällt mir
Reaktionen: JumpingCat, dms und Skudrinka
CyborgBeta schrieb:
Ja, das kann man zwar, wird bei mir aber vollständig durch Traefik gemanaged.
Zum Vergrößern anklicken....
wenn jetzt bei jeder antwort ein weiterer informationsschipsel kommt, dann ist das echt mühselig. beschreibe dein gesamtes setup, sonst wird das nichts.
 
  • Gefällt mir
Reaktionen: LuxSkywalker, Skysnake, KillerCow und 4 andere
Bisher habe ich so etwas:

https://doc.traefik.io/traefik/routing/services/#servers

Code: 
## Dynamic configuration
http:
  services:
    my-service:
      loadBalancer:
        servers:
          - url: "http://mypublicip:port/"

Anstatt http://mypublicip:port/ möchte ich dort aber nun http://127.0.0.2:port/ eintragen.

Hab gerade getestet, ich kann die lokale Anwendung tatsächlich auf 127.0.0.2 + Port binden, ohne etwas an der Netzwerkschnittelle ändern zu müssen.

Jetzt wäre noch die Frage, ob ich 127.0.0.2:port vom Docker-Container aus erreichen kann.
 
Das Ganze liest sich ein wenig wie Jugend forscht, ohne grundsätzliche Kenntnisse von Netzwerk und Routing etc….. halte ich für arg gefährlich in Verbindung mit Freigaben aus dem Internet.
 
  • Gefällt mir
Reaktionen: SuperCube, JumpingCat, dms und eine weitere Person
CyborgBeta schrieb:
Solche Beiträge sind nicht hilfreich.
Zum Vergrößern anklicken....
Aber das Problem sind nicht wir, sondern deine spärlichen Informationen die du uns gibt's und hinzu kommt noch, dass man dir alles einzeln aus der Nase ziehen muss.

Wie bereits @Nilson schrieb, ein XY Problem..
 
  • Gefällt mir
Reaktionen: paokara, matthias3000, JumpingCat und eine weitere Person
CyborgBeta schrieb:
Die statische ip ist vom www erreichbar
Zum Vergrößern anklicken....
Wenn es eine IP aus einem der privaten Adressräume ist, dann nicht. Es sei denn, du hast dir da irgendein NAT gebaut oder nen Proxy leitet die Anfragen aus dem Inet in dein privates Netz weiter. Wenn dem so ist, hast du im Zweifel aber auch mit "localhost" dasselbe Problem.
Ergänzung ()

CyborgBeta schrieb:
Geht leider nicht, Bad Gateway jedes mal.
Zum Vergrößern anklicken....
Ist auch völlig klar. localhost bzw. jede Adresse aus 127.0.0.0/8 ist immer das loopback device des jeweiligen Systems, in dem Fall also des Containers.

Du könntest den Container mit "network=host" laufen lassen, dann verhält der sich, was das Netzwerk angeht, so, als würde er direkt auf dem Host laufen. localhost des Hosts ist dann identisch mit localhost des Containers.
Insgesamt solltest du dich aber unbedingt mit der Thematik besser vertraut machen. Ansonsten hast du ganz schnell wieder das Problem, das du eigentlich verhindern willst... und im schlimmsten Fall, ohne es zu merken.

Zum wirklichen Abschotten hilft übrigens auch nicht, einfach mit localhost zu arbeiten. Wenn du sichergehen willst/must, dann gehört eine Firewall immer zu so einem Setup, auch lokal. Aber vorsicht bei Dockernetzwerken und Firewalls. Die werden (oder wurden?) an lokalen Filterregeln vorbei geleitet! Siehe dazu auch die Doku.
 
  • Gefällt mir
Reaktionen: CyborgBeta
KillerCow schrieb:
Ist auch völlig klar. localhost bzw. jede Adresse aus 127.0.0.0/8 ist immer das loopback device des jeweiligen Systems, in dem Fall also des Containers.
Zum Vergrößern anklicken....
Ich glaube, das ist der springende Punkt.

KillerCow schrieb:
Du könntest den Container mit "network=host" laufen lassen,
Zum Vergrößern anklicken....
Möchte ich nicht, Traefik soll das wie gesagt übernehmen.

Durchgelesen hatte ich mir auch:

https://unix.stackexchange.com/questions/11844/etc-hosts-for-debian

https://community.traefik.io/t/can-traefik-routing-external-https-443-traefik-internal-http-80/8005

https://docs.docker.com/guides/traefik/#sending-traffic-to-non-containerized-workloads

https://stackoverflow.com/questions...how-do-i-connect-to-the-localhost-of-the-mach

Was aber alles nichts bringt, weil es das Dilemma gibt, dass die Container den Host(!)-Localhost nicht kennen, bzw. nur über die statische IP kennen können, wobei dann aber die Kommunikation an lo vorbeigeht.

Sprich ich muss damit leben, dass der Host-Localhost-Service nicht nur über https erreichbar ist, sondern auch "direkt" über http.
 
@Skysnake Nein, es macht zu viel. Alle Dienste laufen dann auf dem Host und alle Ports werden exposed ... es gibt also kein internes bridge Netzwerk mehr. Das hebelt die Sicherheitsmechanismen aus.

Ich kann als URL http://meine-domain:port verwenden oder http://meine-ip:port verwenden, dann kennt der Container DNS Resolver die IP. Nachteil ist nur, dass an lo vorbeigeleitet wird. Für den Host sieht es dann eben so aus, als käme die Anfrage aus dem www.
 
Ich werd noch immer nicht schlau aus deinem Geschreibe.

Mach doch bitte mal eine vollständige Beschreibung deines Setups und warum was wie gemacht ist.

Ne andere local host IP ist unter Linux bullshit. Das wird alles auf die gleiche IP gemapped und geht dann ins loopback device.

Ich befürchte du hast dich konzeptionell einfach in eine Sackgasse manövriert und kommst da jetzt nicht mehr raus. Hört sich für mich zumindest so an als ob du an die Systemgrenzen stößt und ein architektonisches Redesign nötig ist.
 
Skysnake schrieb:
Ich befürchte du hast dich konzeptionell einfach in eine Sackgasse manövriert und kommst da jetzt nicht mehr raus.
Zum Vergrößern anklicken....
Ich habe nun einen Stand, der funktioniert. Nur eben mit der Einschränkung, dass ein Dienst, der eigentlich nur über https erreichbar sein sollte, auch über http erreichbar ist. Um das https sollte sich eigentlich nur traefik kümmern.

Prinzipiell ist das nicht weiter schlimm, aber nervig.

Skysnake schrieb:
Mach doch bitte mal eine vollständige Beschreibung deines Setups und warum was wie gemacht ist.
Zum Vergrößern anklicken....
Dann müsste ich ein paar Dateien angeben (docker-compose.yml, dynamic_conf.yml, app.yml (von Discourse)) und alle sensiblen Informationen entfernen, das will ich jetzt nicht. Eine umgangssprachliche Umschreibung sollte genügen. ;)
 
CyborgBeta schrieb:
alle sensiblen Informationen entfernen
Zum Vergrößern anklicken....
Soll ja keiner wissen, das Du auch noch 127.0.0.3 und 127.0.0.4 in Gebrauch hast. Die fiesen Hacker sitzen überall. :-)

Skysnake schrieb:
Ne andere local host IP ist unter Linux bullshit. Das wird alles auf die gleiche IP gemapped und geht dann ins loopback device.
Zum Vergrößern anklicken....
Das ist ja nun kein Hinderungsgrund. Man kann ja auch IP-Aliase an physische Schnittstellen vergeben und unterschiedliche Dinge daran binden.

Skysnake schrieb:
Mach doch bitte mal eine vollständige Beschreibung deines Setups und warum was wie gemacht ist.
Zum Vergrößern anklicken....
Man darf auch einfach mal die Fragen beantworten die so gestellt werden, statt ewig herum zu diskutieren, warum was sinnvoll ist und was nicht. Letzteres kann man natürlich auch machen. Aber geht ja hier quasi nur darum.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Marco01_809 und CyborgBeta
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Kabelinternet möglich bzw sinnvoll?
2
Antworten
25
Aufrufe
1.915
Whetstone
Whetstone
Jossy82
Selbst gehosteter Wrath of the Lichking Server mit Bots
2
Antworten
25
Aufrufe
5.155
Jossy82
Jossy82
Bull Shit
nvidia 660m auf 980m aufrüsten möglich bzw. sinnvoll?
Antworten
16
Aufrufe
2.317
iTzZent
iTzZent
nitroburger
  • Gesperrt
HD+ Aufnahme -> UNICAM Modul -> möglich bzw. sinnvoll?
Antworten
7
Aufrufe
7.919
tsingtao
tsingtao
L
Nexus 4 gegen Galaxy S3 tauschen möglich bzw. sinnvoll?
2 3
Antworten
54
Aufrufe
4.351
l_uk_e
l_uk_e
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz