OpenVZ Kernel und iptables (Root-Server +CentOS + SolusVM)

Frederic · 4. August 2015

Hallo an alle,
ich habe leider ein Problem bzgl. meiner iptables Konfiguration auf meinem Server. Ich nutze einen Root-Server mit CentOS und installiertem SolusVM. (Installiert durch bereitgestelltes Skript) Das Skript installiert auch einen OpenVZ Kernel.
Ich habe bereits ein Thema zu dem Anliegen erstellt. Da sich jedoch heraus kristallisiert hat, dass es sich womöglich um ein OpenVZ Kernel spezifisches Thema handelt habe ich dieses Thema geöffnet. (Link zum vorherigen Thema: Root-Server - iptables Konfiguration und ipv6 ) Bitte entnehmt meine bereits vorangegangen Konfigurationsversuche und -ergebnisse aus dem vorherigen Thema. (Da dies sonst alles doppelt niedergeschrieben wäre. )

Es handelt sich um folgenden Kernel:

Code

[root ~]# uname -a
Linux 2.6.32-042stab108.8 #1 SMP Wed Jul 22 17:23:23 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux

Hier noch die Ausgabe von iptables -L -v. (Es spielt keine Rolle ob ich state oder ctstate verwende. In beiden Fällen bleibt pkts und bytes auf 0 0.) Wenn ich den SSH Port alla "iptables -A INPUT -m state --state NEW ..." freischalte Ist keine Verbindung mehr möglich. Es scheint für mich ein Problem mit der Stateful Inspection zu sein... nur genaueres kann ich leider noch nicht definieren.

Code

Chain INPUT (policy DROP 7019 packets, 601K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  272 20000 f2b-SSH    tcp  --  any    any     anywhere             anywhere            tcp dpt:25724 
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
 2523  197K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:25724 
    1    84 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-reply 
 6167 1109K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:5656 
   95 24545 ACCEPT     udp  --  any    any     anywhere             anywhere            udp spt:domain 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp spt:domain 







Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         







Chain OUTPUT (policy ACCEPT 181 packets, 51095 bytes)
 pkts bytes target     prot opt in     out     source               destination         







Chain SOLUSVM_TRAFFIC_IN (0 references)
 pkts bytes target     prot opt in     out     source               destination         







Chain SOLUSVM_TRAFFIC_OUT (0 references)
 pkts bytes target     prot opt in     out     source               destination         







Chain f2b-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  272 20000 RETURN     all  --  any    any     anywhere             anywhere

Alles anzeigen

Ich hoffe es kann mir jemand helfen oder zumindest Hilfestellungen geben warum es zu den genannten Problemen kommt.

Schon jetzt vielen, vielen Dank!

Liebe Grüße
Frederic

Frederic · 5. August 2015

Hm.. es scheint nicht so zu sein, dass IPTables eine andere Konfiguration benötigt um zu funktionieren. Jedenfalls sind ganz "normale" Regeln hier verwendet wurden. ... Dann frage ich mich doch warum diese bei mir nicht greifen.

Setting up an iptables firewall - OpenVZ Virtuozzo Containers Wiki

EDIT:
Folgende Info in der Hoffnung, dass dies weitere Erkenntnisse liefert:
ich habe die Firewallkonfig. testweise mal auf einer VM getestet. Dort funktionieren sie einwandfrei. Nur auf dem Host nicht.

LG
Frederic

Frederic · 8. August 2015

Hallo,
da nur drei Ports via Portscan als geöffnet angezeigt werden wenn die Firewall deaktiviert ist, habe ich mich dazu entschlossen die Firewall ganz zu deaktivieren. Es sind lediglich folgende Ports geöffnet: SolusVM HTTP (5353), SolusVM HTTPS (5656) und mein SSH Port.
Ich werde den Webserver so umstellen, dass alle Anfragen an Port 5353 direkt an Port 5656 weitergeleitet werden, somit ist die Verschlüsselte Verbindung gewährleistet. Damit ich den Vorteil von fail2ban auf meinem SSH Port nicht verliere, habe ich mich für folgende iptables Konfiguration entschieden.

Code

[root ~]# cat /etc/sysconfig/iptables# Generated by iptables-save v1.4.7 on Sat Aug  8 18:25:01 2015*filter:INPUT DROP [0:0]:FORWARD ACCEPT [3:3036]:OUTPUT ACCEPT [0:0]:SOLUSVM_TRAFFIC_IN - [0:0]:SOLUSVM_TRAFFIC_OUT - [0:0]:f2b-SSH - [0:0][11:716] -A INPUT -p tcp -m tcp --dport 25724 -j f2b-SSH [793:85697] -A INPUT -j ACCEPT [13:13716] -A FORWARD -j SOLUSVM_TRAFFIC_IN [22:25704] -A FORWARD -j SOLUSVM_TRAFFIC_OUT [13680:20300004] -A FORWARD -s <IPv4.oVZ.VM>/32 [8868:545368] -A FORWARD -d <IPv4.oVZ.VM>/32 [2:184] -A SOLUSVM_TRAFFIC_IN -d <IPv4.oVZ.VM>/32 [2:2984] -A SOLUSVM_TRAFFIC_OUT -s <IPv4.oVZ.VM>/32 [11:716] -A f2b-SSH -j RETURN COMMIT# Completed on Sat Aug  8 18:25:01 2015# Generated by iptables-save v1.4.7 on Sat Aug  8 18:25:01 2015*mangle:PREROUTING ACCEPT [23341:20931069]:INPUT ACCEPT [793:85697]:FORWARD ACCEPT [22548:20845372]:OUTPUT ACCEPT [399:323859]:POSTROUTING ACCEPT [22947:21169231]COMMIT# Completed on Sat Aug  8 18:25:01 2015

Code

[root ~]# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   96  9793 f2b-SSH    tcp  --  any    any     anywhere             anywhere            tcp dpt:25724 
   96  9793 f2b-SSH    tcp  --  any    any     anywhere             anywhere            tcp dpt:25724 
 7259  816K ACCEPT     all  --  any    any     anywhere             anywhere            







Chain FORWARD (policy ACCEPT 84 packets, 8244 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   84  8244 SOLUSVM_TRAFFIC_IN  all  --  any    any     anywhere             anywhere            
   84  8244 SOLUSVM_TRAFFIC_OUT  all  --  any    any     anywhere             anywhere            
  321 53406            all  --  any    any     <Hostname.oVZ.VM>  anywhere            
  423 38073            all  --  any    any     anywhere             <Hostname.oVZ.VM> 







Chain OUTPUT (policy ACCEPT 411 packets, 374K bytes)
 pkts bytes target     prot opt in     out     source               destination         







Chain SOLUSVM_TRAFFIC_IN (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   52  4256            all  --  any    any     anywhere             <Hostname.oVZ.VM>







Chain SOLUSVM_TRAFFIC_OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   32  3988            all  --  any    any     <Hostname.oVZ.VM>  anywhere            







Chain f2b-SSH (2 references)
 pkts bytes target     prot opt in     out     source               destination         
  192 19586 RETURN     all  --  any    any     anywhere             anywhere            
    0     0 RETURN     all  --  any    any     anywhere             anywhere

Alles anzeigen

Kann mir jemand eine kurze Rückmeldung über folgende Annahme geben?:
Durch diese Konfiguration wird der Traffic erst "durch" fail2ban geschickt und dann akzeptiert. Somit kann fail2ban weiterhin seine Arbeit verrichten. Korrekt?

Vielen Dank schon jetzt und nochmal danke an alle die sich meinem Problem angenommen haben.

Liebe Grüße und ein schönes Wochenende
Frederic

Tags