Как стать автором
Обновить

Комментарии 14

Наконец можно заняться снижением нагрузки на сервер без лишних телождвижений =)

На убунту отличненько работает =)
а чем плохо использовать iptables внутри контейнеров?
Ну разве что тем, что это чуть менее безопасно: если злоумышленник получит root-привилегии в контейнере, то он сможет повлиять и на firewall тоже. Честно говоря, я по этой причине даже ни разу и не пробовал прописывать iptables внутри контейнера. Поэтому — вопрос: внутри контейнера тоже нужно использовать цепочку FORWARD, или там уже применяется INPUT/OUTPUT, как на хост-машине?
INPUT/OUTPUT

имхо, вообще это велосипед, пусть лучше начинающие админы мануалы читают по iptables, чем городить непонятно что
Так можно сказать, что Си — это тоже велосипед, потому что есть Ассемблер. Я лишь написал маленький инструмент, упрощающий рутинные операции и экономящий время, а также повышающий мотивацию.
ну я не согласен с этим, так или иначе админу все равно придется изучать iptables, а тут еще и ваш инструмент, лишняя работа.

сколько тестировалась эта штука? я уверен еще вылезут разнообразные косяки :)

на счет мотивации вообще не понял :)
Мотивация — в том смысле, что за работу садишься не с мыслью «блин, опять этой рутиной полдня заниматься», а с мыслью «сейчас за 2 минуты настрою и займусь творческим делом» (да-да, по моему убеждению, работа хорошего админа — творческая).
> вопрос: внутри контейнера тоже нужно использовать цепочку FORWARD, или там уже применяется
> INPUT/OUTPUT, как на хост-машине?
внутри почти полноценный iptables.

> если злоумышленник получит root-привилегии в контейнере, то он сможет повлиять и на firewall тоже
да, но только в рамках этого контейнера.

думаю если у него уже будет root, то то, что на фаерволе уровнем выше закрыты порты уже мало чем поможет.
Если ограничивать только входящие подключения, то на 90% я с Вами соглашусь. А вот если еще ограничивать и исходящие (чего vzfirewall пока не умеет делать), то — не соглашусь.
да, согласен. только вот не много людей ограничивает исходящие на серверах. и то что vzfirewall не умеет это делать ещё одно тому доказательство
Да, я тоже обычно не ограничиваю. Хотя зря. в случае взлома сервера умным крякером и различных неправоправных действий с этого сервера владельцам можно очень серьезно попасть. Доказывай потом, что не верблюд…
Большое спасибо, давно думал над этими вопросами.
Подскажите, а можно ли как нить использовать vzfirewall совместно с veth.
А как именно вы хотели бы ее использовать совместно с veth?

Вообще, vzfirewall работает только с цепочкой FORWARD. Конечно, можно кастомные правила задавать руками (см. выше в статье), но не думаю, что это сильно проще, чем обычный iptables конфигурировать (итерирование по IP-адресам идет на основе *.conf-файла, а не на основе списка ip-адресов из ifconfig).
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории