Conexión via internet hacia Linux/Docker

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Hola Estimados,
Empezar comentando que tengo cero idea de Linux y Docker.
Tuve un equipo funcionando "casi" perfectamente con DSM de Synology, y Docker con un par de aplicativos.
Mi familia y amigos conectaban sin problemas con sus cacharros, celucos y teles desde casa.
Pero tuve la genial idea de cambiar todo a Fedora Server, a modo de probar algo distinto y ver como andaba.
Localmente, veo perfecto el equipo y servicios, pero no los veo desde fuera.
Usé los mismos puertos que tenía configurados en el router, le asigné la misma IP que usé en DSM al Fedora, pero no hay caso.
Probando con Termius o Jellyfin, desde fuera de casa, resuelven el DDNS/IP, pero al intentar con los puerots 22 o 8096, cae.
Via Cockpit, intenté desactivando el firewall de Fedora, pero no pasa nada. Ni arriba, ni abajo, ni altiro o esperando, nada.
Los instructivos que he visto, "asumen" por remoto el conectar desde otro equipo en LAN, y los que he visto hacerlo por internet lo hacen hacia un AWS, sino el mismo Port Forward a la IP interna usando el 22, tal como lo tengo yo.
No sé si me falta algo simple o complejo; alguien acá me podría dar una mano con alguna sugerencia de qué hacer?
Agradezco de antemano,

Saludos.
 

true

Pro
Se incorporó
18 Noviembre 2006
Mensajes
735
Suena problema a nivel de sistema operativo, pero siempre es bueno verificar los puertos/ip que estas dejando pasar en el router. Lo otro, no cacho Fedora Server, pero quizás necesitas un proxy inverso para redirigir las consultas, algo como traefik, que también puedes montar en docker.
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Suena problema a nivel de sistema operativo, pero siempre es bueno verificar los puertos/ip que estas dejando pasar en el router. Lo otro, no cacho Fedora Server, pero quizás necesitas un proxy inverso para redirigir las consultas, algo como traefik, que también puedes montar en docker.
Oka, te agradezco la respuesta.
 
Upvote 0

true

Pro
Se incorporó
18 Noviembre 2006
Mensajes
735
Lo otro que puede estar pasando, y me pasó con Emby, es que la conexión se esté forzando en https y no tengas configurado el https
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
No hay caso, no consigo conectar remoto hacia el tarrito.
Probé con Ubuntu Server también, con el sistema limpiecito y actualizado, luego de chequear que openssh esté activo y corriendo.
Quiero conectar por ssh, y me arroja "connection reset by peer".
Estoy probando con Termux y con Termius.
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Sip, el mismo router loguea a un ddns (también probé con la IP pública), y el mismo router hace el port forward hacia la IP del linux.
Deshabilité firewalld y selinux, sin conseguir conexión.
Estuve mirando lo de traefik, lo tenía instalado y corriendo.
En mi ignorancia, supongo que para probar ssh desde fuera, no necesito proxy reverso... ?
También desconecté las cams y otros tarros, ya que buscando y leyendo, podría ser el tema del "promiscuous mode", dejando solito en el switch al linux, y nada :(
 
Upvote 0

true

Pro
Se incorporó
18 Noviembre 2006
Mensajes
735
puedes pegarnos un pantallazo de la configuración nat? tacha las cosas que sean delicadas obvio
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Si claro, gracias,

1668119556001.png


En NAT type, está en "Port-restricted cone NAT", y tiene otra opción que dice "Full cone NAT".
Y el Port Forward que agregué,

1668119567948.png
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
y fedora server (nunca pense que alguien lo trataria de usar xD ) tiene algun firewall con reglas activas para filtrar conexiones entrantes? o estaba sin ningun firewall activado ?

basicamente antes de instalar Docker, iptables deberia estar limpio, sin reglas, ya que Docker al momento de recibir conexiones y dirigirlas a los contenedores, usa reglas de iptables para redirigir las conexiones, funcionando como un mini-firewall-nat entre la red fisica y la red de contenedores.

si tienes funcionando algun gestor de reglas de firewall/iptables, recomendaria que lo deshabilites o desinstales, reiniciar, y dejar que Docker maneje las reglas que necesite para los servicios/puertos de los contenedores, y asi no tengas nada interviniendo las reglas que deberian dejar pasar las conexiones
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
y fedora server (nunca pense que alguien lo trataria de usar xD ) tiene algun firewall con reglas activas para filtrar conexiones entrantes? o estaba sin ningun firewall activado ?

basicamente antes de instalar Docker, iptables deberia estar limpio, sin reglas, ya que Docker al momento de recibir conexiones y dirigirlas a los contenedores, usa reglas de iptables para redirigir las conexiones, funcionando como un mini-firewall-nat entre la red fisica y la red de contenedores.

si tienes funcionando algun gestor de reglas de firewall/iptables, recomendaria que lo deshabilites o desinstales, reiniciar, y dejar que Docker maneje las reglas que necesite para los servicios/puertos de los contenedores, y asi no tengas nada interviniendo las reglas que deberian dejar pasar las conexiones
Te agradezco la respuesta.
Voy a ver eso de iptables, una vez que logre conectar por ssh.
 
Upvote 0

true

Pro
Se incorporó
18 Noviembre 2006
Mensajes
735
Claro, entonces el problema esta después del router. Muy pero en el caso del ssh, tambien puede ser la configuración del daemon. Lo del iptables es buena sugerencia
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Con lo del daemon, te refieres al archivo /etc/ssh/sshd_config?
He intentado default y metiendo manos.
Voy a ver lo de iptables, pero supongo no hay efecto "bloqueo" si está firewall y selinux abajo.
Voy a esperar que salga la edición Server y volver a instalar, aprovechando que salió Fedora 37.
Sino, y con la bala pasada, volver a "emular" Synology DSM.
Hay entretención para el fin de semana.
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Sorry por el texto...
Estuve mirando, y ésto hay en /var/log/secure luego de dos intentos, desde el celu via datos:

Nov 11 17:11:24 server-c9 polkitd[783]: Loading rules from directory /etc/polkit-1/rules.d
Nov 11 17:11:24 server-c9 polkitd[783]: Loading rules from directory /usr/share/polkit-1/rules.d
Nov 11 17:11:24 server-c9 polkitd[783]: Finished loading, compiling and executing 4 rules
Nov 11 17:11:24 server-c9 polkitd[783]: Acquired the name org.freedesktop.PolicyKit1 on the system bus
Nov 11 17:11:24 server-c9 sshd[842]: Server listening on 0.0.0.0 port 22.
Nov 11 17:11:24 server-c9 sshd[842]: Server listening on :: port 22.
Nov 11 17:12:01 server-c9 systemd[5515]: pam_systemd_home(systemd-user:account): systemd-homed is not available: Could not activate remote peer: activation request failed: unknown unit.
Nov 11 17:12:01 server-c9 systemd[5515]: pam_unix(systemd-user:session): session opened for user callampin(uid=1000) by (uid=0)
Nov 11 17:12:01 server-c9 cockpit-session[5477]: pam_unix(cockpit:session): session opened for user callampin(uid=1000) by (uid=0)
Nov 11 17:12:01 server-c9 polkitd[783]: Registered Authentication Agent for unix-session:1 (system bus name :1.18 [cockpit-bridge], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale C.UTF-8)
Nov 11 17:12:02 server-c9 sudo[5584]: callampin : PWD=/run/user/1000 ; USER=root ; COMMAND=/usr/bin/cockpit-bridge --privileged
Nov 11 17:12:02 server-c9 sudo[5584]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1000)
Nov 11 17:23:19 server-c9 sudo[24326]: callampin : TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/cat firewalld
Nov 11 17:23:19 server-c9 sudo[24326]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1000)
Nov 11 17:23:19 server-c9 sudo[24326]: pam_unix(sudo:session): session closed for user root
Nov 11 17:24:19 server-c9 sudo[24355]: callampin : TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/vim secure
Nov 11 17:24:19 server-c9 sudo[24355]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1000)
Nov 11 17:25:20 server-c9 sudo[24355]: pam_unix(sudo:session): session closed for user root

Parece que algo hay con eso del pam, por ahí leí algo de "usepam=yes"...
Y con eso del systemd-homed, que no cacho qué es...
 
Upvote 0

true

Pro
Se incorporó
18 Noviembre 2006
Mensajes
735
de tu log desprendo que tienes un servicio que se llama firewalld andando, puedes revisar eso?
 
Upvote 0

pespz

Capo
Se incorporó
1 Agosto 2019
Mensajes
166
Desactivado:

○ firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)

Nuevo intento de conexión, lo mismo...
Y no aparece el intento en el log secure, voy a buscar cual es el log de conexiones ssh.
 
Upvote 0
Subir