Во второй строке приведённого лога есть виновный. Почему когда вы подключаетесь к Яндексу вылазит левый сертификат? Хостер ( владелец сервера ) перекидывает?
Просто мысля вслух - если это банальная блокировка по списку IP может проще не взваливать это на веб-сервер, а выполнять уровнем раньше - с помощью того-же iptables / ipset ?
ну я как бы присоединяюсь к ответу Александра Карабанова - я бы проверил в админке Оркал клауд. Я сам этим сервисом не пользовался, поэтому не скажу что там и как, но обычно у облачников надо подкрутить политику доступа к виртуалке.
Ну и я ещё пять копеек подброшу, если контейнер поднят не в хостовой сети то ковырять надо не input , a forward, а вообще для доступа к контейнерам есть специальная цепочка DOCKER-USER
antony_eliseev, Скриншот рассматривать - ну.. сорри.
Сделайте нормальную выгрузку правил iptables -L INPUT -vnx , будет что обсуждать. Заодно скажите,а куда и что должно приходить по вашему сценарию - чтобы понимать какую именно проблему мы решаем.
У вас по сути роутер и целевой хост, роутер отправляет транзитный трафик на целевой хост. А он должен отвечать обратно в сторону роутера.
Кстати ещё проверьте что в iptables -L FORWARD
Сорри корВо пишу - с мобилы
+ еще можно зайти в контейнер и глазами посмотреть, что там на месте, а чего не хватает.
docker-compose exec cont_name_here /bin/bash
на и дальше как обычно, ls , cd и вот это все.
это сильно от вашей операционной системы зависит. у меня линукс и мак, с линуксом нет вопросов что использовать , а для мака например есть несколько разных клиентов - и платные и нет.
но в целом я на ваш вопрос ответить не могу - не понимаю какую именно мы проблему решаем тут.
pixal, это не должно помочь. Точнееэто зависит от того что в правилах уже написано, если там была последняя строка - запретить все входящие , то вообще правило не сработает.
Показывайте вывод
iptables -L INPUT -vnx
res2001 вам ответил на этот вопрос выше, лично я не вижу каких либо проблем в запуске сколько угодно например докер-контейнеров, в которых будет примонтирован свой конфиг и свой кусок файловой системы.
Да, если в команде нет человека знакомого с технологией, сделать все на хосте (и поддерживать) - наверное проще.
Все свою жизнь на маке, это более 15 лет, переключаю язык комбинацией Command - Space (по умолчанию, могу путать, там ctrl - space) , не имею никаких проблем вообще. Указанный "прикол" - не видел никогда в жизни.
есть возможность настройть mirror на порты vlan-ов и помониторить трафик , поглядеть как пакетики бегают - от компа точно запросы проходят через гейт и главное - камера отвечает?
Почти согласен , но как человек и сидящий на маке и где то отвечающий за закупку ноутов могу сказать что бывают сильные стопы к макам. Например если SRE реально много работает с докером. Взять тинкпад и набить в него 32 оперативы будет и быстрее и дешевле.