Skocz do zawartości
Zaloguj się, aby obserwować  
Ganicjusz

Reguły dla iptables a OpenVZ

Polecane posty

Witam, mam przygotowane takie reguły dla iptables pod serwer Xen, czy takie coś zadziała też na OpenVZ? Bo słyszałem gdzieś ze na OpenVZ mamy mniejsza możliwość ingerencji w iptables...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

witaj wszystko zależy od tego czy dany usługodawca udostępnił odpowiednie moduły

 

Nie tak dokładnie. ;- )

Bo openvz nie ma zwirtualizowanych wszystkich "modułów".

 

Pokaż rzeczywiście te regułki to będziemy mogli powiedzieć, jak to będzie wyglądało i od czego zależało.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Bo openvz nie ma zwirtualizowanych wszystkich "modułów".

kontynuując myśl ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

kontynuując myśl ?

 

"moduł" - celowo wstawiłem w cudzysłów, bo zabrakło mi na tamtą chwilę dokładnego określenia. Konkretnie to miałem na myśli, że nie wszystko działa na openvz pomimo załadowanego modułu.

 

Np. MASQUERADE, oczywiście można to zastąpić odpowiednio SNAT.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To są domyślne regułki polecane przez pewnego angielskiego usługodawce na Xen, chciałbym z nich skorzystac na OpenVZ. A i mam jeszcze pytanie czy oprócz portów 80, 443, 22 będę potrzebował jeszcze jakiś jak chce mieć nginx+php5+postgresql+jakiś tam ftp? No i jeszcze coś typu fail2ban itp.

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

"moduł" - celowo wstawiłem w cudzysłów, bo zabrakło mi na tamtą chwilę dokładnego określenia. Konkretnie to miałem na myśli, że nie wszystko działa na openvz pomimo załadowanego modułu.

 

Np. MASQUERADE, oczywiście można to zastąpić odpowiednio SNAT.

 

No faktycznie trzeba doktorat z ovz ;-)

 

 

@

Ganicjusz

 

będzie działać na ovz ten "fajerłol".

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

będzie działać na ovz ten "fajerłol".

 

Dzięki za info, a że co słaby jest według Ciebie? Takie wrażenie odniosłem po tym "fajerłol" smile.png Ja się nie znam, korzystam jak na razie z poradników itp, zerowe doświadczenie w administracji własnym serwerem.

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za info, a że co słaby jest według Ciebie? Takie wrażenie odniosłem po tym "fajerłol" smile.png Ja się nie znam, korzystam jak na razie z poradników itp, zerowe doświadczenie w administracji własnym serwerem.

normalny, wycinasz wszystko i wpuszczasz to co Ci potrzebne, założenie jest dobre, nie ma co przesadzać

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy takie wyrażenie będzie ok? Powiedzmy ze jeszcze dla portu 20:


iptables -I input 2 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
iptables -I input 2 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×