DmitryKoterov Mar 17 2010 at 13:58

dklab vzfirewall: простое управление firewall-ом в OpenVZ

5 min

2.6K

System administration*

+21

Comments 14

Ar2r Mar 17 2010 at 14:59

Наконец можно заняться снижением нагрузки на сервер без лишних телождвижений =)

На убунту отличненько работает =)

rushman Mar 17 2010 at 15:03

а чем плохо использовать iptables внутри контейнеров?

DmitryKoterov Mar 17 2010 at 15:08

Ну разве что тем, что это чуть менее безопасно: если злоумышленник получит root-привилегии в контейнере, то он сможет повлиять и на firewall тоже. Честно говоря, я по этой причине даже ни разу и не пробовал прописывать iptables внутри контейнера. Поэтому — вопрос: внутри контейнера тоже нужно использовать цепочку FORWARD, или там уже применяется INPUT/OUTPUT, как на хост-машине?

l0rda Mar 17 2010 at 15:18

INPUT/OUTPUT

имхо, вообще это велосипед, пусть лучше начинающие админы мануалы читают по iptables, чем городить непонятно что

DmitryKoterov Mar 17 2010 at 15:44

Так можно сказать, что Си — это тоже велосипед, потому что есть Ассемблер. Я лишь написал маленький инструмент, упрощающий рутинные операции и экономящий время, а также повышающий мотивацию.

l0rda Mar 17 2010 at 15:58

ну я не согласен с этим, так или иначе админу все равно придется изучать iptables, а тут еще и ваш инструмент, лишняя работа.

сколько тестировалась эта штука? я уверен еще вылезут разнообразные косяки :)

на счет мотивации вообще не понял :)

DmitryKoterov Mar 17 2010 at 18:18

Мотивация — в том смысле, что за работу садишься не с мыслью «блин, опять этой рутиной полдня заниматься», а с мыслью «сейчас за 2 минуты настрою и займусь творческим делом» (да-да, по моему убеждению, работа хорошего админа — творческая).

rushman Mar 17 2010 at 17:12

> вопрос: внутри контейнера тоже нужно использовать цепочку FORWARD, или там уже применяется
> INPUT/OUTPUT, как на хост-машине?
внутри почти полноценный iptables.

> если злоумышленник получит root-привилегии в контейнере, то он сможет повлиять и на firewall тоже
да, но только в рамках этого контейнера.

думаю если у него уже будет root, то то, что на фаерволе уровнем выше закрыты порты уже мало чем поможет.

DmitryKoterov Mar 17 2010 at 18:16

Если ограничивать только входящие подключения, то на 90% я с Вами соглашусь. А вот если еще ограничивать и исходящие (чего vzfirewall пока не умеет делать), то — не соглашусь.

rushman Mar 17 2010 at 18:50

да, согласен. только вот не много людей ограничивает исходящие на серверах. и то что vzfirewall не умеет это делать ещё одно тому доказательство

DmitryKoterov Mar 28 2010 at 00:42

Да, я тоже обычно не ограничиваю. Хотя зря. в случае взлома сервера умным крякером и различных неправоправных действий с этого сервера владельцам можно очень серьезно попасть. Доказывай потом, что не верблюд…

Lord_Daedra Mar 17 2010 at 18:13

Большое спасибо, давно думал над этими вопросами.

Qk4l Mar 18 2010 at 12:40

Подскажите, а можно ли как нить использовать vzfirewall совместно с veth.

DmitryKoterov Mar 28 2010 at 00:52

А как именно вы хотели бы ее использовать совместно с veth?

Вообще, vzfirewall работает только с цепочкой FORWARD. Конечно, можно кастомные правила задавать руками (см. выше в статье), но не думаю, что это сильно проще, чем обычный iptables конфигурировать (итерирование по IP-адресам идет на основе *.conf-файла, а не на основе списка ip-адресов из ifconfig).