在docker容器中通过桥无法访问SSLIP。获取SSL_ERROR_SYSCALL

作者：事过人空 | 来源：互联网 | 2023-09-17 18:01

我在通过IP+TLS连接到任何服务器时遇到问题，但仅在（默认）网桥中运行时从docker容器内连接。我总是得到OpenSSLSSL_connect:SSL_E

我在通过 IP + TLS 连接到任何服务器时遇到问题，但仅在（默认）网桥中运行时从 docker 容器内连接。我总是得到 OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to W.X.Y.Z。我试过 tcpdump（在容器中）和wireshark（在主机本地）都无济于事。

我的工作伙伴具有相同的 OS/Docker 版本，无法重现该问题。我不知道如何调试这个问题。

我试过了：

各种图像（ubuntu 和 alpine）

各种客户端（curl 和 wget）

各种 TLS 版本（1.3 和 1.2）

我的容器：

FROM ubuntu:latest RUN apt update && apt upgrade -y && apt install -y curl tcpdump openssl wget

问题：

上述 2 个调用（curl HOSTNAME 然后 curl MATCHINGIP）在主机上工作得很好。

ubuntu 容器中的额外信息：

root@ba6f8aab182d:/# openssl version OpenSSL 1.1.1f 31 Mar 2020 root@ba6f8aab182d:/# curl --version curl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.7 libidn2/2.2.0 libpsl/0.21.0 (+libidn2/2.2.0) libssh/0.9.3/openssl/zlib nghttp2/1.40.0 librtmp/2.3 Release-Date: 2020-01-08 Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp Features: AsynchDNS brotli GSS-API HTTP2 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM NTLM_WB PSL SPNEGO SSL TLS-SRP UnixSockets

来自主机的额外信息：

$ docker version Client: Docker Engine - Community Cloud integration: 1.0.12 Version: 20.10.5 API version: 1.41 Go version: go1.13.15 Git commit: 55c4c88 Built: Tue Mar 2 20:13:00 2021 OS/Arch: darwin/amd64 Context: default Experimental: true Server: Docker Engine - Community Engine: Version: 20.10.5 API version: 1.41 (minimum version 1.12) Go version: go1.13.15 Git commit: 363e9a8 Built: Tue Mar 2 20:15:47 2021 OS/Arch: linux/amd64 Experimental: false containerd: Version: 1.4.4 GitCommit: 05f951a3781f4f2c1911b05e61c160e9c30eaa8e runc: Version: 1.0.0-rc93 GitCommit: 12644e614e25b05da6fd08a38ffa0cfe1903fdec docker-init: Version: 0.19.0 GitCommit: de40ad0

docker run -it --rm repro /bin/bash # in the docker bash shell, if I try to curl a regular https hostname, all is well: root@ba6f8aab182d:/# curl -v https://www.google.com * Trying 172.217.10.36:443... * TCP_NODELAY set * Connected to www.google.com (172.217.10.36) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 * ALPN, server accepted to use h2 * Server certificate: * ... # if I try again but this time with the ip instead of the hostname root@ba6f8aab182d:/# curl -v https://172.217.10.36 * Trying 172.217.10.36:443... * TCP_NODELAY set * Connected to 172.217.10.36 (172.217.10.36) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs * TLSv1.3 (OUT), TLS handshake, Client hello (1): * OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to 172.217.10.36:443 * Closing connection 0 curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to 172.217.10.36:443

编辑

openssl s_client -cipher ALL -servername 172.217.10.36:443 -connect 172.217.10.36:443在容器中尝试，我得到：

root@ba6f8aab182d:/# openssl s_client -cipher ALL -servername 172.217.10.36:443 -connect 172.217.10.36:443 CONNECTED(00000003) write:errno=0 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 403 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok)

在主机上我得到：

openssl s_client -cipher ALL -servername 172.217.10.36:443 -connect 172.217.10.36:443 CONNECTED(00000003) depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign verify return:1 depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1 verify return:1 depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = www.google.com verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=www.google.com i:/C=US/O=Google Trust Services/CN=GTS CA 1O1 1 s:/C=US/O=Google Trust Services/CN=GTS CA 1O1 i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign --- Server certificate -----BEGIN CERTIFICATE----- [... certificate was here ...] -----END CERTIFICATE----- subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=www.google.com issuer=/C=US/O=Google Trust Services/CN=GTS CA 1O1 --- No client certificate CA names sent Server Temp Key: ECDH, X25519, 253 bits --- SSL handshake has read 3206 bytes and written 339 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-CHACHA20-POLY1305 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-CHACHA20-POLY1305 Session-ID: 052A69E409C0705AEAB8A180228C3F8E91A530504EFB06BA9214365F6B99DCAC Session-ID-ctx: Master-Key: A4EAC218352BBEAF3A43AB625266304DCF495FFE8A916C638679473AD20DC01B508158B8C0AA39A97003FEC5B8ABD7EC TLS session ticket lifetime hint: 100800 (seconds) TLS session ticket: [... a lot of stuff here ...] Start Time: 1618514134 Timeout : 7200 (sec) Verify return code: 0 (ok) ---

回答

似乎问题出在 Docker-For-Mac 3.3.0 和 3.3.1 上。

解决方案是降级到 3.2.2，即使 docker 引擎是相同的。

见https://github.com/docker/for-mac/issues/5568

推荐阅读

require
Backwardsincompatible change made.

Commit1ced2a7433ea8937a1b260ea65d708f32ca7c95eintroduceda+Clonetraitboundtom ... [详细]

蜡笔小新 2023-12-14 15:35:09
stream
FileNotFoundException: File does not exist

ubuntu用sqoop将数据从hive导入mysql时，命令： ... [详细]

蜡笔小新 2023-12-12 18:56:13
list
iOS超签签名服务器搭建及其优劣势

本文介绍了搭建iOS超签签名服务器的原因和优势，包括不掉签、用户可以直接安装不需要信任、体验好等。同时也提到了超签的劣势，即一个证书只能安装100个，成本较高。文章还详细介绍了超签的实现原理，包括用户请求服务器安装mobileconfig文件、服务器调用苹果接口添加udid等步骤。最后，还提到了生成mobileconfig文件和导出AppleWorldwideDeveloperRelationsCertificationAuthority证书的方法。 ... [详细]

蜡笔小新 2023-12-11 20:23:23
list
Vagrant虚拟化工具的安装和使用教程

本文介绍了Vagrant虚拟化工具的安装和使用教程。首先介绍了安装virtualBox和Vagrant的步骤。然后详细说明了Vagrant的安装和使用方法，包括如何检查安装是否成功。最后介绍了下载虚拟机镜像的步骤，以及Vagrant镜像网站的相关信息。 ... [详细]

蜡笔小新 2023-12-11 14:24:00
io
Android Studio命令行使用gradle及解决常见问题的方法

本文介绍了在Android Studio中使用命令行build gradle的方法，并解决了一些常见问题，包括手动配置gradle环境变量和解决External Native Build Issues的方法。同时提供了相关参考文章链接。 ... [详细]

蜡笔小新 2023-12-09 10:11:06
require
windows下dll加载失败排错

在加载一个第三方厂商的dll文件时，提示“找不到指定模块，加载失败”。由于缺乏必要的技术支持，百思不得期间。后来发现一个有用的工具 ... [详细]

蜡笔小新 2023-10-17 23:00:57
web
正则表达式及其范例

为什么80%的码农都做不了架构师？一、前言部分控制台输入的字符串，编译成java字符串之后才送进内存，比如控制台打\， ... [详细]

蜡笔小新 2023-10-17 20:18:36
io
Hadoop2.6.0 + 云centos +伪分布式只谈部署

3.0.3玩不好，现将2.6.0tar.gz上传到usr,chmod-Rhadoop:hadophadoop-2.6.0，rm掉3.0.32.在etcp ... [详细]

蜡笔小新 2023-10-17 19:28:24
io
php7 curl_init(),php7.3curl_init获取301、302跳转后的数据

最近在做一个蜘蛛项目，发现在抓取数据时，有时会碰到301的页面，原本写的curl_init函数php7-远程获取api接口或网页内容&#x ... [详细]

蜡笔小新 2023-10-17 17:12:03
io
【技术分享】一个 ELF 蠕虫分析

【技术分享】一个 ELF 蠕虫分析 ... [详细]

蜡笔小新 2023-10-17 16:12:28
io
docker安装到基本使用

记录docker概念，安装及入门日常使用Docker安装查看官方文档，在"Debian上安装Docker"，其他平台在"这里查 ... [详细]

蜡笔小新 2023-10-17 10:28:22
io
面试：Websocket

面试：Websocket简介WebSocket是一种与HTTP不同的协议。两者都位于OSI模型的应用层，并且都依赖于传输层的TCP协议。虽然它们不同& ... [详细]

蜡笔小新 2023-10-16 22:48:46
list
第七章•Firewalld防火墙实战

1、防火墙安全基本概述在CentOS7系统中集成了多款防火墙管理工具，默认启用的是firewalld（动态防火墙管理器）防火墙管理工具，Firewalld支持CLI（命令行）以及G ... [详细]

蜡笔小新 2023-10-16 13:07:01
web
为PHP5安装curl和gd

2019独角兽企业重金招聘Python工程师标准一、查看php5是否安装了curl：1在web服务器目录（Ubuntu下通常为varwww ... [详细]

蜡笔小新 2023-10-16 12:34:16
io
区块链Hyperledger Composer 环境安装一（整理版）

HyperledgerComposer环境安装1.安装基本软件包**如果使用Linux安装HyperledgerComposer，请注意以下建议：以 ... [详细]

蜡笔小新 2023-10-15 18:47:29

事过人空

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章