OpenVZ Forum


Home » International » Russian » iptables в контейнере (Не срабатывают правила на ACCEPT)
icon5.gif  iptables в контейнере [message #51250] Mon, 24 March 2014 09:44 Go to next message
lazy_ is currently offline  lazy_
Messages: 1
Registered: September 2011
Location: Moscow
Junior Member
Сеть сделана на veth интерфейсах. HN является роутером для подсети, в которой сидят контейнеры. Соответственно трафик идет через цепочку FORWARD, и там все открыто:
Chain FORWARD (policy ACCEPT 19 packets, 1307 bytes)
 pkts bytes target     prot opt in     out     source               destination


Внутри контейнера открываю на 22 порт и закрываю всем. В итоге не идет:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
 1861  484K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
  122 20416 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited


В tcpdump:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:21:36.687165 IP 555.666.777.888.6263 > 111.222.333.444.ssh: Flags [S], seq 743814308, win 65535, options [mss 1400,nop,wscale 3,nop,nop,TS val 231222481 ecr 0,sackOK,eol], length 0
11:21:36.687187 IP 111.222.333.444 > 555.666.777.888: ICMP host 111.222.333.444 unreachable - admin prohibited, length 72
11:21:36.844115 IP 555.666.777.888.6263 > 111.222.333.444.ssh: Flags [S], seq 743814308, win 65535, options [mss 1400,nop,wscale 3,nop,nop,TS val 231223486 ecr 0,sackOK,eol], length 0
11:21:36.844144 IP 111.222.333.444 > 555.666.777.888: ICMP host 111.222.333.444 unreachable - admin prohibited, length 72
11:21:41.686245 ARP, Request who-has 111.222.333.444 tell 212.158.160.173, length 28
11:21:41.686271 ARP, Reply 111.222.333.444 is-at 00:18:51:19:7f:86, length 28


Сразу скажу, что как только я убираю последнее правило на REJECT, все сразу работает. Где я не прав?

P.S. HN:
[lazy@localhost ~]$ uname -a
Linux localhost.localdomain 2.6.32-042stab084.25 #1 SMP Wed Feb 12 16:04:42 MSK 2014 x86_64 x86_64 x86_64 GNU/Linux
[lazy@localhost ~]$ cat /etc/redhat-release
CentOS release 6.5 (Final)

В контейнерах тоже centos 6.5 ставленный из precreated.

[Updated on: Mon, 24 March 2014 10:48]

Report message to a moderator

Re: iptables в контейнере [message #51953 is a reply to message #51250] Tue, 31 March 2015 11:34 Go to previous message
dozornyj is currently offline  dozornyj
Messages: 2
Registered: March 2015
Junior Member
скорее всего в настройках контейнера стоит NETFILTER="stateless",
т.е. файрвол ничего не знает о состоянии пакета
state RELATED,ESTABLISHED
state NEW

надо попробовать поменять на NETFILTER="full"

Report message to a moderator

Previous Topic: Контейнер не видится с хоста по сети
Next Topic: VLAN в контейнере
Goto Forum:
  

[ Syndicate this forum (XML) ] [ RSS ] [ PDF ]

Current Time: Mon Nov 04 05:06:28 GMT 2024

Total time taken to generate the page: 0.03487 seconds
Powered by FUDforum Powered by Virtuozzo Containers