OpenVZ Kernel und iptables (Root-Server +CentOS + SolusVM)

  • Hallo an alle,
    ich habe leider ein Problem bzgl. meiner iptables Konfiguration auf meinem Server. Ich nutze einen Root-Server mit CentOS und installiertem SolusVM. (Installiert durch bereitgestelltes Skript) Das Skript installiert auch einen OpenVZ Kernel.
    Ich habe bereits ein Thema zu dem Anliegen erstellt. Da sich jedoch heraus kristallisiert hat, dass es sich womöglich um ein OpenVZ Kernel spezifisches Thema handelt habe ich dieses Thema geöffnet. (Link zum vorherigen Thema: Root-Server - iptables Konfiguration und ipv6 ) Bitte entnehmt meine bereits vorangegangen Konfigurationsversuche und -ergebnisse aus dem vorherigen Thema. (Da dies sonst alles doppelt niedergeschrieben wäre. ;) )


    Es handelt sich um folgenden Kernel:


    Code
    1. [root ~]# uname -a
    2. Linux 2.6.32-042stab108.8 #1 SMP Wed Jul 22 17:23:23 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux


    Hier noch die Ausgabe von iptables -L -v. (Es spielt keine Rolle ob ich state oder ctstate verwende. In beiden Fällen bleibt pkts und bytes auf 0 0.) Wenn ich den SSH Port alla "iptables -A INPUT -m state --state NEW ..." freischalte Ist keine Verbindung mehr möglich. Es scheint für mich ein Problem mit der Stateful Inspection zu sein... nur genaueres kann ich leider noch nicht definieren. :/



    Ich hoffe es kann mir jemand helfen oder zumindest Hilfestellungen geben warum es zu den genannten Problemen kommt.


    Schon jetzt vielen, vielen Dank!


    Liebe Grüße
    Frederic

  • Hm.. es scheint nicht so zu sein, dass IPTables eine andere Konfiguration benötigt um zu funktionieren. Jedenfalls sind ganz "normale" Regeln hier verwendet wurden. ... Dann frage ich mich doch warum diese bei mir nicht greifen. :(


    Setting up an iptables firewall - OpenVZ Virtuozzo Containers Wiki



    EDIT:
    Folgende Info in der Hoffnung, dass dies weitere Erkenntnisse liefert:
    ich habe die Firewallkonfig. testweise mal auf einer VM getestet. Dort funktionieren sie einwandfrei. Nur auf dem Host nicht. :/




    LG
    Frederic

  • Hallo,
    da nur drei Ports via Portscan als geöffnet angezeigt werden wenn die Firewall deaktiviert ist, habe ich mich dazu entschlossen die Firewall ganz zu deaktivieren. Es sind lediglich folgende Ports geöffnet: SolusVM HTTP (5353), SolusVM HTTPS (5656) und mein SSH Port.
    Ich werde den Webserver so umstellen, dass alle Anfragen an Port 5353 direkt an Port 5656 weitergeleitet werden, somit ist die Verschlüsselte Verbindung gewährleistet. Damit ich den Vorteil von fail2ban auf meinem SSH Port nicht verliere, habe ich mich für folgende iptables Konfiguration entschieden.


    Code
    1. [root ~]# cat /etc/sysconfig/iptables# Generated by iptables-save v1.4.7 on Sat Aug 8 18:25:01 2015*filter:INPUT DROP [0:0]:FORWARD ACCEPT [3:3036]:OUTPUT ACCEPT [0:0]:SOLUSVM_TRAFFIC_IN - [0:0]:SOLUSVM_TRAFFIC_OUT - [0:0]:f2b-SSH - [0:0][11:716] -A INPUT -p tcp -m tcp --dport 25724 -j f2b-SSH [793:85697] -A INPUT -j ACCEPT [13:13716] -A FORWARD -j SOLUSVM_TRAFFIC_IN [22:25704] -A FORWARD -j SOLUSVM_TRAFFIC_OUT [13680:20300004] -A FORWARD -s <IPv4.oVZ.VM>/32 [8868:545368] -A FORWARD -d <IPv4.oVZ.VM>/32 [2:184] -A SOLUSVM_TRAFFIC_IN -d <IPv4.oVZ.VM>/32 [2:2984] -A SOLUSVM_TRAFFIC_OUT -s <IPv4.oVZ.VM>/32 [11:716] -A f2b-SSH -j RETURN COMMIT# Completed on Sat Aug 8 18:25:01 2015# Generated by iptables-save v1.4.7 on Sat Aug 8 18:25:01 2015*mangle:PREROUTING ACCEPT [23341:20931069]:INPUT ACCEPT [793:85697]:FORWARD ACCEPT [22548:20845372]:OUTPUT ACCEPT [399:323859]:POSTROUTING ACCEPT [22947:21169231]COMMIT# Completed on Sat Aug 8 18:25:01 2015





    Kann mir jemand eine kurze Rückmeldung über folgende Annahme geben?:
    Durch diese Konfiguration wird der Traffic erst "durch" fail2ban geschickt und dann akzeptiert. Somit kann fail2ban weiterhin seine Arbeit verrichten. Korrekt? ;)


    Vielen Dank schon jetzt und nochmal danke an alle die sich meinem Problem angenommen haben. :)


    Liebe Grüße und ein schönes Wochenende
    Frederic