OpenVZ a firewall

zomb25 · Post autor: **zomb25** » 03 kwietnia 2011, 22:00

Witam,
Posiadam serwer dedykowany z proxmoxem, zainstalowałem sobie Debiana 6.0 z szablonu, chciałem zabezpieczyć serwer firewallem lecz napotkałem na błąd.
Mój firewall:

Kod: Zaznacz cały

#!/bin/sh

IPT=/sbin/iptables

case "$1" in
start)
###
#firewall flush:
iptables -F
iptables -X
iptables -Z
###
#default policy:
iptables -P INPUT       ACCEPT
iptables -P OUTPUT      ACCEPT
iptables -P FORWARD     ACCEPT
###
#ping switching off:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A INPUT -i venet0 -s 0/0 -p icmp --icmp-type ping -j DROP

###
$IPT -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 20 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -i venet0 -p tcp --dport 6665:6669 -j ACCEPT #irc
###cs
#$IPT -A INPUT -p udp -s 0/0 --dport 1200 -j ACCEPT #cs
#$IPT -A INPUT -p udp -s 0/0 --dport 27015 -j ACCEPT #cs
#$IPT -A INPUT -p tcp -s 0/0 --dport 27015 -j ACCEPT #cs
###
$IPT -A INPUT -i venet0 -p tcp --dport 45000:65000 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 60000:64000 -j ACCEPT
###

###
$IPT -A INPUT -i venet0 -j REJECT
#
exit 0
;;

stop)
#firewall flush:
$IPT -F
$IPT -X
$IPT -Z
##
#default policy:
$IPT -P INPUT       ACCEPT
$IPT -P OUTPUT      ACCEPT
$IPT -P FORWARD     ACCEPT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac

po uruchomieniu wyskakuje błąd:

Kod: Zaznacz cały

iptables: No chain/target/match by that name.

błąd dotyczy linii:

Kod: Zaznacz cały

$IPT -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT

dodam, że na "normalnym" Debianie firewall działa prawidłowo.

Kod: Zaznacz cały

# lsmod
Module                  Size  Used by

uname -a:

Kod: Zaznacz cały

# uname -a
Linux debian 2.6.32-4-pve #1 SMP Tue Mar 8 06:49:04 CET 2011 i686 GNU/Linux

Proszę o pomoc.

Bastian · Post autor: **Bastian** » 05 kwietnia 2011, 11:42

Kod: Zaznacz cały

IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

W firewallu, który podajesz nie ma takiej regułki. Podajesz tam:

Kod: Zaznacz cały

$IPT -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Co wygląda na poprawną regułę gdyż z tego co mi się wydaje OpenVZ wystawia ci połączenie sieciowe na interfejsie venet0.

zomb25 · Post autor: **zomb25** » 05 kwietnia 2011, 17:05

Tak, wiem, drobny błąd przy wklejaniu tego tutaj gdyż na serwerze miałem dobrze. Więc to nie jest rozwiązaniem mojego problemu.

Bastian · Post autor: **Bastian** » 05 kwietnia 2011, 17:45

Nie masz najprawdopodobniej modułu ip_conntrack w jaju. Musisz prosić admina żeby Ci go dodał.

zomb25 · Post autor: **zomb25** » 05 kwietnia 2011, 22:54

A czy da się ten moduł dodać bez kompilacji jądra? Jeżeli tak to w jaki sposób. Nie chce próbować robić tego na ślepo ponieważ jak serwer się podda to będę musiał inwestować w KVMoIP

Bastian · Post autor: **Bastian** » 08 kwietnia 2011, 10:52

Nie uda się tego Tobie zrobić. Musisz prosić providera.

zomb25 · Post autor: **zomb25** » 08 kwietnia 2011, 22:25

Providera, mogę wiedzieć, o czym Ty mówisz?

Bastian · Post autor: **Bastian** » 10 kwietnia 2011, 08:50

A, myślałem, że ten OpenVZ to masz gdzieś wykupiony. Jeśli sam zarządzasz wirtualizacjami (proxmox?) to w takim razie musisz w jądrze dodać ten moduł. Wydaje mi się, że

Kod: Zaznacz cały

modprobe ip_conntrack

powinno wystarczyć, aczkolwiek nie znam tego proxmoxa i nie wiem za bardzo jak wygląda w nim system hosta dla OpenVZ.

VMLine · Post autor: **VMLine** » 12 kwietnia 2011, 15:38

Zainstaluj firewal http://www.rfxn.com/projects/advanced-policy-firewall/ i w apf.conf ustaw '1' na SET_MONOKERN