Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
— | howto:vps:openvz:openvz_iptables [2016/01/18 14:24] (aktuální) – vytvořeno - upraveno mimo DokuWiki 127.0.0.1 | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | ====== OpenVZ a Firewall ====== | ||
+ | |||
+ | Defaultní konfigurace OpenVZ je poněkud restriktivní k provozovaná stavového firewallu v kontejnerech, | ||
+ | |||
+ | V souboru **/ | ||
+ | |||
+ | <code ini> | ||
+ | NETFILTER=" | ||
+ | </ | ||
+ | |||
+ | Pokud tam volba ještě není, tak ji přidáme. Ve výchozím stavu bývá zakázán stavový firewall. \\ | ||
+ | |||
+ | Ve starších verzích OpenVZ bylo nutné ještě nastavit, jaké moduly firewallu může kontejner využívat: | ||
+ | Do souboru **/ | ||
+ | |||
+ | <code ini / | ||
+ | ## IPv4 iptables kernel modules to be enabled in CTs by default | ||
+ | IPTABLES=" | ||
+ | ## IPv4 iptables kernel modules to be loaded by init.d/vz script | ||
+ | IPTABLES_MODULES=" | ||
+ | |||
+ | ## Enable IPv6 | ||
+ | IPV6=" | ||
+ | |||
+ | ## IPv6 ip6tables kernel modules | ||
+ | IP6TABLES=" | ||
+ | </ | ||
+ | |||
+ | Uvedené nastavení je globální pro všechny VPS. Pokud z nějakého důvodu chceme firewall povolit jen pro některé kontejnery, přidáme do příslušného **conf** souboru virtuálu řádky __IPTABLES__ a __IP6TABLES__ \\ | ||
+ | |||
+ | --- | ||
+ | |||
+ | <note tip> | ||
+ | Aby to fungovalo, je potřeba uvedené moduly načíst ještě před startem kontejnerů ! | ||
+ | </ | ||
+ | |||
+ | V Centosu se provádí natažení všech potřebných modulů přidáním popř. editací řádku v těchto konfiguračních souborech: | ||
+ | |||
+ | <code ini / | ||
+ | IPTABLES_MODULES=" | ||
+ | </ | ||
+ | |||
+ | <code ini / | ||
+ | IP6TABLES_MODULES=" | ||
+ | </ | ||
+ | |||
+ | V Debianu bude potřeba provést obdobný krok pomocí **/ | ||
+ | |||
+ | <code ini / | ||
+ | xt_comment | ||
+ | xt_DSCP | ||
+ | ipt_LOG | ||
+ | nf_nat | ||
+ | ip6t_REJECT | ||
+ | ip6table_mangle | ||
+ | ip6table_filter | ||
+ | ip6_tables | ||
+ | xt_length | ||
+ | xt_hl | ||
+ | xt_tcpmss | ||
+ | xt_TCPMSS | ||
+ | iptable_mangle | ||
+ | iptable_filter | ||
+ | xt_multiport | ||
+ | xt_limit | ||
+ | xt_dscp | ||
+ | ipt_REJECT | ||
+ | ip_tables | ||
+ | nf_conntrack_ipv6 | ||
+ | nf_defrag_ipv6 | ||
+ | xt_state | ||
+ | nf_conntrack_ipv4 | ||
+ | nf_conntrack | ||
+ | nf_defrag_ipv4 | ||
+ | </ | ||
+ | |||
+ | Na závěr povolte ipcontrack v openvz, jinak nebude správně fungovat firewall: \\ | ||
+ | |||
+ | <code ini / | ||
+ | options nf_conntrack ip_conntrack_disable_ve0=0 | ||
+ | </ | ||
+ | |||
+ | // | ||
+ | |||
+ | **Nyní proveďte restart stroje a firewall je připraven k používání** | ||
+ | |||
+ | |||