Reguły dla iptables a OpenVZ

[Ganicjusz 0]

Witam, mam przygotowane takie reguły dla iptables pod serwer Xen, czy takie coś zadziała też na OpenVZ? Bo słyszałem gdzieś ze na OpenVZ mamy mniejsza możliwość ingerencji w iptables...

[www.ionic.pl 535]

witaj wszystko zależy od tego czy dany usługodawca udostępnił odpowiednie moduły

[malu 460]

witaj wszystko zależy od tego czy dany usługodawca udostępnił odpowiednie moduły

 

Nie tak dokładnie. ;- )

Bo openvz nie ma zwirtualizowanych wszystkich "modułów".

 

Pokaż rzeczywiście te regułki to będziemy mogli powiedzieć, jak to będzie wyglądało i od czego zależało.

[Gość patrys]

Bo openvz nie ma zwirtualizowanych wszystkich "modułów".

kontynuując myśl ?

[malu 460]

kontynuując myśl ?

 

"moduł" - celowo wstawiłem w cudzysłów, bo zabrakło mi na tamtą chwilę dokładnego określenia. Konkretnie to miałem na myśli, że nie wszystko działa na openvz pomimo załadowanego modułu.

 

Np. MASQUERADE, oczywiście można to zastąpić odpowiednio SNAT.

[Ganicjusz 0]

To są domyślne regułki polecane przez pewnego angielskiego usługodawce na Xen, chciałbym z nich skorzystac na OpenVZ. A i mam jeszcze pytanie czy oprócz portów 80, 443, 22 będę potrzebował jeszcze jakiś jak chce mieć nginx+php5+postgresql+jakiś tam ftp? No i jeszcze coś typu fail2ban itp.

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

[www.ionic.pl 535]

"moduł" - celowo wstawiłem w cudzysłów, bo zabrakło mi na tamtą chwilę dokładnego określenia. Konkretnie to miałem na myśli, że nie wszystko działa na openvz pomimo załadowanego modułu.

 

Np. MASQUERADE, oczywiście można to zastąpić odpowiednio SNAT.

 

No faktycznie trzeba doktorat z ovz ;-)

 

 

@

Ganicjusz

 

będzie działać na ovz ten "fajerłol".

[Ganicjusz 0]

będzie działać na ovz ten "fajerłol".

 

Dzięki za info, a że co słaby jest według Ciebie? Takie wrażenie odniosłem po tym "fajerłol" Ja się nie znam, korzystam jak na razie z poradników itp, zerowe doświadczenie w administracji własnym serwerem.

Edytowano Kwiecień 22, 2012 przez Ganicjusz (zobacz historię edycji)

[www.ionic.pl 535]

Dzięki za info, a że co słaby jest według Ciebie? Takie wrażenie odniosłem po tym "fajerłol" Ja się nie znam, korzystam jak na razie z poradników itp, zerowe doświadczenie w administracji własnym serwerem.

normalny, wycinasz wszystko i wpuszczasz to co Ci potrzebne, założenie jest dobre, nie ma co przesadzać

[Misiek08 285]

Jeszcze 21 pod FTP.

[Ganicjusz 0]

Czy takie wyrażenie będzie ok? Powiedzmy ze jeszcze dla portu 20:

iptables -I input 2 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
iptables -I input 2 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT