OpenVZ e Firewall iptables

openz firewall iptablesIl kernel di OpenVz da la possibilità di usare dei moduli aggiuntivi di iptables che normalmente non sono caricati in automatico.
E’ necessario modificare le impostazioni di default, se si desidera far caricare questi moduli o dal sistema operativo host o dai server virtuali.

Sul sistema operativo host (hardware node)
Per utilizzare dei moduli di iptables con OpenVZ basta aggiungere dei parametri al file /etc/sysconfig/iptables-config sul sistema operativo host.
Per preimpostazione i valori dovrebbero essere:
IPTABLES_MODULES=”ip_tables ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length”
Si possono inserire anche:
ip_conntrack
ip_conntrack_ftp
ip_conntrack_irc
ipt_LOG
ipt_conntrack
ipt_helper
ipt_state
iptable_nat
ip_nat_ftp
ip_nat_irc
ipt_TOS
Mettendo queste parole come valore di IPTABLES_MODULES, il nodo hardware caricherà i moduli all’avvio del computer.


Caricare i moduli di iptables in una determinata virtual machine

Se invece si preferisce adoperarli all’interno dei virtual private server è necessario modificare il file /etc/sysconfig/vz che si trova sul hardware node. I moduli che si intende adoperare nelle macchine virtuali debbono essere attivi sull’hardware node.
Quindi per abilitare l’uso di funzioni particolari di iptables si può ridefinire alcune voci nel file di configurazione di una precisa vm (/etc/sysconfig/vz-scripts/vps_id.conf) oppure usare alcuni modelli già pronti (/etc/sysconfig/vz-scripts/ve-sample_name.conf-sample), ma il sistema più veloce è il seguente:
Dunque per attivare i moduli di iptable per OpenVZ si può rapidamente utilizzare il comando
# vzctl set 101 –iptables iptable_filter –iptables ipt_length –iptables ipt_limit –iptables iptable_mangle –iptables ipt_REJECT –save
Ciò impartirà ad OpenVz di abilitare nel server virtuale con id 101: iptable_filter, ipt_length, ipt_limit, iptable_mangle, ipt_REJECT.
Con l’opzione –save queste istruzioni vengono salvate nel file di configurazione di quel determinato vps.
Per ultima cosa è necessario riavviare il computer affiché i moduli appena inseriti entrino in esecuzione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *