OpenVZ: ノード iptables がルールを追加しない

tag-icon tag-icon linux debian iptables linux-networking openvz
OpenVZ: ノード iptables がルールを追加しない

ノード内の iptables にルール セットを作成したいのですが、iptables がすべてのルールを追加していないか、何らかの理由で、次のスクリプトを実行するたびにログアウトしてしまうようです (このルール セットを他のサーバーで使用していますが、正常に動作しています)。

# Allow connections that are already connected to your server
iptables -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow connections to SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# Allowing connections to HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Allow icmp input but limit it to 10/sec
iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# Allow all incoming traffic from local
iptables -A INPUT -i lo -j ACCEPT

# Changing the default policy for INPUT chain
iptables -A INPUT -j DROP

私が見つけた問題は(おそらく)、最後の行(DROP anything)が 1 として解釈され、それがサーバーによって追い出される原因であるということです。

すでにvzの設定を変更しています:

IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state xt_state ip_conntrack"

これに関してのどんな助けでもありがたいです。

ありがとう。

答え1

OpenVZ と「ESTABLISHED,RELATED」の使用に関する問題がさらに発生していることがわかりました。残念ながら、何らかの理由でコンテナー内でステートフル iptables を許可しない OpenVZ インストールを修正する方法を見つけることができませんでした。

しかし、IPTable ルールがかなり単純なので、本当にステートフルにする必要があるのでしょうか? 次のルールでも同様に機能すると思います。

# Allow connections to SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Allowing connections to HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Allow icmp input but limit it to 10/sec
iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# Allow all incoming traffic from local
iptables -A INPUT -i lo -j ACCEPT

# Changing the default policy for INPUT chain
iptables -A INPUT -j DROP

関連情報