主页 / server / 问题 / 131055
Accepted
luison
Asked: 2010-04-10 10:08:23 +0800 CST

VM上具有CSF + iptables规则的虚拟环境防火墙?

  • 772

我们正在使用 Proxmox VE (OpenVZ + KVM) 服务器进行虚拟化。我们的防火墙计划是让 CSF ( http://configserver.com/cp/csf.html ) 在主机上运行,​​因为我们过去在这方面有相当好的经验。

除此之外,我们在 VM 机器(主要是具有相同内核的 OpenVZ 容器)上计划了简单的防火墙规则,并且可能会使用 fail2ban 简单的特定规则。

我会很感激任何有类似经历的人的评论?

我知道所有流量都来自主机,因此那里的组合防火墙与 VM 上的特定防火墙应该可以工作,尽管一些 iptables 规则很难在 OpenVZ 容器上工作。

firewall openvz

2 个回答

  1. Best Answer

    我的建议是在硬件节点上执行以下操作:

    1. 如果您的 HN 有两个接口,请将它们都配置为网桥(在我的情况下,我有 vmbr0 和 vmbr1)
    2. 在 csf.conf 中,将您的 ETH_DEVICE 配置为“vmbr+”

    3. /etc/csf/中创建一个名为csfpost.sh的文件,它只允许转发:

      #!/bin/sh 
IPT=/sbin/iptables 
$IPT -F FORWARD
$IPT -P FORWARD ACCEPT

    4. 现在,您的 HN 在所有接口上都受到保护,但会透明地将流量传入和传出容器。

    5. 使用 CSF 配置您的容器以保护它们。

    注释通过将以下内容放在/etc/vz/vz.conf
    中,确保 CSF 所需的模块对您的 VE 可用: 

     IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT"

    还要确保您的“numiptent”值约为 256 或更高,默认值或 128 将导致 CSF 在您的 VE 上加载一半(请参阅 /proc/user_bean_counters 以查看您是否达到了 numiptent 限制)

    我还将上述 netfilter 模块添加到我的 /etc/modules 中(每行 1 个)。我不完全确定这是否有必要。希望这可以帮助!

    • 3

  2. 如果您使用 CSF,则不需要 fail2ban。CSF 带有 LFD,它可以完成 fail2ban 所做的所有事情(以及更多!)。我没有看到您提出的设置会出现任何问题,尽管我建议在主机上使用最少的防火墙规则以防止出现任何类型的开销。

    • 0

相关问题