Eu tenho duas interfaces: eth0 (endereço público) e lxcbr0 com 10.0.3.1.
Eu tenho um convidado LXC rodando com ip 10.0.3.10
Esta é minha configuração firehol:
version 5
trusted_ips='/usr/local/bin/strip_comments /etc/firehol/trusted_ips'
trusted_servers='/usr/local/bin/strip_comments /etc/firehol/trusted_servers'
blacklist full '/usr/local/bin/strip_comments /etc/firehol/blacklist'
interface lxcbr0 virtual
policy return
server "dhcp dns" accept
router virtual2internet inface lxcbr0 outface eth0
masquerade
route all accept
interface any world
protection strong
#Outgoing these protocols are allowed to everywhere
client "smtp pop3 dns ntp mysql icmp" accept
#These (incoming) services are available to everyone
server "http https smtp ftp imap imaps pop3 pop3s passiveftp" accept
#Outgoing, these protocols are only allowed to known servers
client "http https webcache ftp ssh pyzor razor" accept dst "${trusted_servers}"
No meu host, posso conectar-me apenas a "servidores confiáveis" na porta 80. No meu convidado, posso conectar-me à porta 80 em cada host. Eu presumi que o firehol iria bloquear isso.
Existe algo que eu possa adicionar / alterar para que meus convidados herdem as regras da interface eth0?
Você deseja ativar o net.bridge.bridge-nf-call-iptables sysctl, que executará pacotes de ponte através do iptables antes de transmiti-los. Você pode precisar configurar regras separadas, dependendo de como a bridge está configurada, mas você definitivamente pode filtrar pacotes através de uma ponte usando o iptables se você ativar o sysctl.