| Re: Балансировка venet на нескольких сетевых картах [message #40933 is a reply to message #40929] |
Tue, 26 October 2010 15:44   |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
Вы так же как и топикстартер, решаете задачу исходя из неверных посылок 
DMZ запросто организуется с venet сетью с помощью iptables на ноде.
У нас сделано именно так.
Для VPS, который должен находится в DMZ, просто разрешаете FORWARD во внешний мир(и из внешнего мира) первым правилом, а вторым запрещаете любой трафик.
Реальный пример для контейнера, проксирующего web-трафик к нескольким другим(тут у него внутренний IP, и проброшенный порт 80):
-A PREROUTING -d XX.XX.XX.XX -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.YY.Y.18:80
-A FORWARD -s 10.YY.Y.18 -o eth1 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -s 10.YY.Y.180 -i vmbr0 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -s 10.YY.Y.180 -i vmbr0 -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -d 10.YY.Y.180 -o vmbr0 -p ! icmp -m state --state INVALID -j DROP
-A FORWARD -s 10.YY.Y.180 -i vmbr0 -o eth1 -j ACCEPT
-A FORWARD -d 10.YY.Y.180 -i vmbr0 -p icmp -j ACCEPT
-A FORWARD -s 10.YY.Y.180 -o vmbr0 -p icmp -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.20 -j ACCEPT
-A FORWARD -s 10.YY.Y.20 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.31 -j ACCEPT
-A FORWARD -s 10.YY.Y.31 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.36 -j ACCEPT
-A FORWARD -s 10.YY.Y.36 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.15 -j ACCEPT
-A FORWARD -s 10.YY.Y.15 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.29 -j ACCEPT
-A FORWARD -s 10.YY.Y.29 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.19 -j ACCEPT
-A FORWARD -s 10.YY.Y.19 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.37 -j ACCEPT
-A FORWARD -s 10.YY.Y.37 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.43 -j ACCEPT
-A FORWARD -s 10.YY.Y.43 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -d 10.YY.Y.18 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.YY.Y.38 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.38 -j ACCEPT
-A FORWARD -s 10.YY.Y.75 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.75 -j ACCEPT
-A FORWARD -s 10.YY.Y.54 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.54 -j ACCEPT
-A FORWARD -s 10.YY.Y.12 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.12 -j ACCEPT
-A FORWARD -s 10.YY.Y.71 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.71 -j ACCEPT
-A FORWARD -s 10.YY.Y.51 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.51 -j ACCEPT
-A FORWARD -s 10.YY.Y.32 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.32 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -o eth1 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -j DROP
-A FORWARD -d 10.YY.Y.18 -j DROP
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.32 -j ACCEPT
-A FORWARD -s 10.YY.Y.32 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.194 -j ACCEPT
-A FORWARD -s 10.YY.Y.194 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.195 -j ACCEPT
-A FORWARD -s 10.YY.Y.195 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.33 -j ACCEPT
-A FORWARD -s 10.YY.Y.33 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.12 -j ACCEPT
-A FORWARD -s 10.YY.Y.12 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.34 -j ACCEPT
-A FORWARD -s 10.YY.Y.34 -d 10.YY.Y.18 -j ACCEPT
-A FORWARD -s 10.YY.Y.18 -d 10.YY.Y.38 -j ACCEPT
-A FORWARD -s 10.YY.Y.38 -d 10.YY.Y.18 -j ACCEPT
Правила генерятся скриптом, написанным на основе идей скрипта из wiki: http://wiki.openvz.org/Setting_up_an_iptables_firewall
IT-outsource for UNIX servers,
http://ha-systems.ru
[Updated on: Tue, 26 October 2010 15:51] Report message to a moderator |
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
