如何在docker环境中设置sslh的透明模式？

Question 1

我知道这个帖子有点“老旧”，但我刚遇到过同样的情况，一开始我真的迷路了。但我设法让它工作了。不过这可能不是最优雅的解决方案（请随意发表建议！）

我的设置与您的非常相似：

主机（1.1.1.1）
- 安全套接字层：443
- SSH：2222
- 码头工人
  - 容器1（容器：443 -> 主机：4443）
  - 容器2（容器：443 -> 主机：1194）

使用 sslh 的文档，我成功地将透明模式用于 ssh:443。因此，显然，在透明模式下路由到主机进程是可行的。

这是我当前的一套（主机）规则

iptables -t mangle -N SSLH
iptables -t mangle -A PREROUTING -p tcp -m socket --transparent -j SSLH
#The next line routes ssh@host via sslh back to the client. Add more rules like this for other services running on the host (with their respective port)
iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 2222 -j SSLH
iptables -t mangle -A SSLH -j MARK --set-mark 0x1 
iptables -t mangle -A SSLH -j ACCEPT
ip rule add fwmark 0x1 lookup 100 
ip route add local 0.0.0.0/0 dev lo table 100

此路由通过 ssh 在主机（端口 2222）和客户端之间透明地路由 ssh 流量。但是，为 docker 容器添加类似的规则对我来说不起作用（可能是由于 docker 自身广泛的 iptables 规则/网络）

我的解决方案现在是这样的：为 docker 容器分配一个固定的（容器内部）ip，并让 sslh 通过这个 ip 和该容器的内部端口访问容器，而不是通过 1.1.1.1:4443 或 1.1.1.1:1194

容器1：10.1.0.100
容器2：10.2.0.100

我的 /etc/default/sslh 文件现在有此条目

DAEMON_OPTS="-n --user sslh --transparent --timeout 5 --listen 0.0.0.0:443 --ssh 1.1.1.1:2222 --ssl 10.1.0.100:443 --openvpn 10.2.0.100:443 --pidfile /var/run/sslh/sslh.pid"

为了给容器分配一个固定的 IP，您只需创建一个新的网络，例如通过 cli 或通过 docker-compose。

由于我使用的是docker-compose，所以我这样做了：

version: '2.4'
services:
  nginx:
    image: nginx
    ports:
      - "80:80"
      - "4443:443"
    networks:
      static-network:
          ipv4_address: 10.1.0.100
      default: null

  static-network:
    ipam:
      config:
        - subnet: 10.1.0.0/16

该解决方案将把容器“nginx”添加到两个网络：首先是具有固定 IP 10.1.0.100 的新“静态网络”，以及默认网络（如果您想通过自动生成的默认网络链接同一个 docker-compose 文件中的两个容器，则很方便）。

不过，我必须承认，这个解决方案只是一种权宜之计。我根本无法深入了解路由和 iptables 的魔力，我只能编写更好的路由规则。然而，这个权宜之计对我来说已经完成了工作：透明的 sslh 代理到主机和 docker 容器。

Answer

我知道这个帖子有点“老旧”，但我刚遇到过同样的情况，一开始我真的迷路了。但我设法让它工作了。不过这可能不是最优雅的解决方案（请随意发表建议！）

我的设置与您的非常相似：

主机（1.1.1.1）
- 安全套接字层：443
- SSH：2222
- 码头工人
  - 容器1（容器：443 -> 主机：4443）
  - 容器2（容器：443 -> 主机：1194）

使用 sslh 的文档，我成功地将透明模式用于 ssh:443。因此，显然，在透明模式下路由到主机进程是可行的。

这是我当前的一套（主机）规则

iptables -t mangle -N SSLH
iptables -t mangle -A PREROUTING -p tcp -m socket --transparent -j SSLH
#The next line routes ssh@host via sslh back to the client. Add more rules like this for other services running on the host (with their respective port)
iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 2222 -j SSLH
iptables -t mangle -A SSLH -j MARK --set-mark 0x1 
iptables -t mangle -A SSLH -j ACCEPT
ip rule add fwmark 0x1 lookup 100 
ip route add local 0.0.0.0/0 dev lo table 100

此路由通过 ssh 在主机（端口 2222）和客户端之间透明地路由 ssh 流量。但是，为 docker 容器添加类似的规则对我来说不起作用（可能是由于 docker 自身广泛的 iptables 规则/网络）

我的解决方案现在是这样的：为 docker 容器分配一个固定的（容器内部）ip，并让 sslh 通过这个 ip 和该容器的内部端口访问容器，而不是通过 1.1.1.1:4443 或 1.1.1.1:1194

容器1：10.1.0.100
容器2：10.2.0.100

我的 /etc/default/sslh 文件现在有此条目

DAEMON_OPTS="-n --user sslh --transparent --timeout 5 --listen 0.0.0.0:443 --ssh 1.1.1.1:2222 --ssl 10.1.0.100:443 --openvpn 10.2.0.100:443 --pidfile /var/run/sslh/sslh.pid"

为了给容器分配一个固定的 IP，您只需创建一个新的网络，例如通过 cli 或通过 docker-compose。

由于我使用的是docker-compose，所以我这样做了：

version: '2.4'
services:
  nginx:
    image: nginx
    ports:
      - "80:80"
      - "4443:443"
    networks:
      static-network:
          ipv4_address: 10.1.0.100
      default: null

  static-network:
    ipam:
      config:
        - subnet: 10.1.0.0/16

该解决方案将把容器“nginx”添加到两个网络：首先是具有固定 IP 10.1.0.100 的新“静态网络”，以及默认网络（如果您想通过自动生成的默认网络链接同一个 docker-compose 文件中的两个容器，则很方便）。

不过，我必须承认，这个解决方案只是一种权宜之计。我根本无法深入了解路由和 iptables 的魔力，我只能编写更好的路由规则。然而，这个权宜之计对我来说已经完成了工作：透明的 sslh 代理到主机和 docker 容器。

Question 2

谢谢@systemofapwne！

在读了你对这篇文章的回答后，我终于设法使一些工作正常进行。

但是，我必须做一些额外的步骤。为了更好地理解，我还绘制了网络设置的小图：

网络草案

为了允许从主机网络（在主机上运行的 SSLH）进行访问，我通过 docker_gwbridge 添加了一条主机路由，以便能够到达容器（bridge/overlay）的内部 docker 网络：

ip route add $(docker network inspect proxy --format "{{(index .IPAM.Config 0).Subnet}}") via $(docker network inspect docker_gwbridge --format "{{(index .IPAM.Config 0).Gateway}}")

注意：将“proxy”替换为您需要从主机访问的 docker 网络的名称。

对于 SSLH 配置：

# /etc/conf.d/sslh
# ssh: 192.168.10.250 as it's the only listening IP in the sshd config, and on port 50022 
# tls: traefik container ip address in its standalone bridge/overlay network
DAEMON_OPTS="-t 2 -p 192.168.10.250:443 --ssh 192.168.10.250:50022 --tls 172.16.100.2:443 --user sslh --transparent"

对于 SSH 流量，我的规则是相同的。正如您所写，您不能处理 SSL 流量，只能处理 SSH 流量：

iptables -t mangle -N SSLH
iptables -t mangle -A PREROUTING -p tcp -m socket --transparent -j SSLH
#The next line routes ssh@host via sslh back to the client. Add more rules like this for other services running on the host (with their respective port)
iptables -t mangle -A OUTPUT -p tcp -m tcp --sport 50022 -j SSLH
iptables -t mangle -A SSLH -j MARK --set-mark 0x1 
iptables -t mangle -A SSLH -j ACCEPT
ip rule add fwmark 0x1 lookup 100 
ip route add local 0.0.0.0/0 dev lo table 100

我在 SSLH 的 github 上发布了更多有关设置的详细信息：https://github.com/yrutschle/sslh/issues/411

Answer