SPOJE.NET

Technická dokumentace

Uživatelské nástroje

Nástroje pro tento web


howto:vps:openvz:openvz_iptables

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

howto:vps:openvz:openvz_iptables [2016/01/18 14:24] (aktuální)
Řádek 1: Řádek 1:
 +====== OpenVZ a Firewall ======
 +
 +Defaultní konfigurace OpenVZ je poněkud restriktivní k provozovaná stavového firewallu v kontejnerech,​ proto je potřeba provést následující úpravu nastavení: \\
 +
 +V souboru **/​etc/​vz/​conf/​CTID.conf** vyhledáme položku **NETFILTER** a upravíme ji takto \\
 +
 +<code ini>
 +NETFILTER="​full"​
 +</​code>​
 +
 +Pokud tam volba ještě není, tak ji přidáme. Ve výchozím stavu bývá zakázán stavový firewall. \\
 +
 +Ve starších verzích OpenVZ bylo nutné ještě nastavit, jaké moduly firewallu může kontejner využívat:
 +Do souboru **/​etc/​vz/​vz.conf** přidáme následující řadky ​ \\
 +
 +<code ini /​etc/​vz/​vz.conf>​
 +## IPv4 iptables kernel modules to be enabled in CTs by default
 +IPTABLES="​ipt_REJECT ipt_tos ipt_TOS ipt_LOG ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state ip_conntrack_ftp ip_conntrack ipt_comment"​
 +## IPv4 iptables kernel modules to be loaded by init.d/vz script
 +IPTABLES_MODULES="​$IPTABLES"​
 +
 +## Enable IPv6
 +IPV6="​yes"​
 +
 +## IPv6 ip6tables kernel modules
 +IP6TABLES="​ip6_tables ip6table_filter ip6table_mangle ip6t_REJECT ip6t_LOG nf_conntrack_ipv6"​
 +</​code>​
 +
 +Uvedené nastavení je globální pro všechny VPS. Pokud z nějakého důvodu chceme firewall povolit jen pro některé kontejnery, přidáme do příslušného **conf** souboru virtuálu řádky __IPTABLES__ a __IP6TABLES__ \\
 +
 +---
 +
 +<note tip>
 +Aby to fungovalo, je potřeba uvedené moduly načíst ještě před startem kontejnerů !
 +</​note>​
 +
 +V Centosu se provádí natažení všech potřebných modulů přidáním popř. editací řádku v těchto konfiguračních souborech: ​ \\
 +
 +<code ini /​etc/​sysconfig/​iptables-config>​
 +IPTABLES_MODULES="​ip_tables ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_LOG ipt_state ipt_TOS ip_conntrack_ftp ip_conntrack ipt_comment"​
 +</​code>​
 +
 +<code ini /​etc/​sysconfig/​ip6tables-config>​
 +IP6TABLES_MODULES="​ip6_tables ip6table_filter ip6table_mangle ip6t_REJECT ip6t_LOG nf_conntrack_ipv6"​
 +</​code>​
 +
 +V Debianu bude potřeba provést obdobný krok pomocí **/​etc/​modules** \\
 +
 +<code ini /​etc/​modules>​
 +xt_comment
 +xt_DSCP
 +ipt_LOG
 +nf_nat
 +ip6t_REJECT
 +ip6table_mangle
 +ip6table_filter
 +ip6_tables
 +xt_length
 +xt_hl
 +xt_tcpmss
 +xt_TCPMSS
 +iptable_mangle
 +iptable_filter
 +xt_multiport
 +xt_limit
 +xt_dscp
 +ipt_REJECT
 +ip_tables
 +nf_conntrack_ipv6
 +nf_defrag_ipv6
 +xt_state
 +nf_conntrack_ipv4
 +nf_conntrack
 +nf_defrag_ipv4
 +</​code>​
 +
 +Na závěr povolte ipcontrack v openvz, jinak nebude správně fungovat firewall: \\
 +
 +<code ini /​etc/​modprobe.d/​openvz.conf>​
 +options nf_conntrack ip_conntrack_disable_ve0=0
 +</​code>​
 +
 +//​Poznámka:​ pokud vám po nějakém upgradu kernelu přestane fungovat správně firewall na hostitelském stroji (klasicky se projevuje tak, že dropuje všechny příchozí pakety), nastavte tuto volbu také i když firewall v kontejnerech nepotřebujete.//​
 +
 +**Nyní proveďte restart stroje a firewall je připraven k používání**
 +
 +
  
howto/vps/openvz/openvz_iptables.txt · Poslední úprava: 2016/01/18 14:24 (upraveno mimo DokuWiki)