А как сделать, чтобы VE не видели друг друга и HN [message #28172] |
Tue, 11 March 2008 08:28 |
rubobman
Messages: 11 Registered: March 2008
|
Junior Member |
|
|
Есть мысль сделать на HN Apache mod_proxy и
проброс Apache VirtualHost на соответствующую VE. Для безопасности хочется настроить сабж.
Я так понимаю на HN надо покрутить iptables. Хотелось бы пример увидеть. Может кто делал.
|
|
|
Re: А как сделать, чтобы VE не видели друг друга и HN [message #28220 is a reply to message #28172] |
Wed, 12 March 2008 01:31 |
tabaki
Messages: 11 Registered: April 2007 Location: Russia
|
Junior Member |
|
|
Я настраивал на HN FORWARD в правилах iptables. Для самого HN прописывается набор правил, в него потом добавляется запись для форвардинга. За основу брал файл с правилами, который получается в Fedora/CentOS после запуска GUI-утилиты (system-config-securitylevel). После запуска сего Гуя получается файл /etc/sysconfig/iptables, его я копировал в другое место, потом останавливал firewall через Гуй, файл соотвественно исчезал, для этого и нужна копия его. Можно конечно правила и иначе забить в файл. Просто однажды созданный такой файл с набором правил потом можно копировать и подправлять как угодно. Удобно.
Скопировав и запустив сей набор правил (iptables-restore /etc/sysconfig/iptables) вносим в него изменения.
iptables -D FORWARD RH-Firewall-1-INPUT
iptables -A FORWARD -i eth0 -o ! eth0 -j ACCEPT
iptables -A FORWARD -i ! eth0 -o eth0 -j ACCEPT
т.е. все пакеты от интерфейса eth0 форвардятся на прочие интерфейсы и наоборот. А уже защита конкретного контейнера возлагается на его набор правил iptables. Метод сей взят из Xen`а, там подобным образом правила firewall`а подстраиваются при запуске DomU. Такой вариант у меня работает, я в принципе доволен.
|
|
|