firehol (firewall) com bridge: como filtrar

2

Eu tenho duas interfaces: eth0 (endereço público) e lxcbr0 com 10.0.3.1.
Eu tenho um convidado LXC rodando com ip 10.0.3.10

Esta é minha configuração firehol:

version 5

trusted_ips='/usr/local/bin/strip_comments /etc/firehol/trusted_ips'
trusted_servers='/usr/local/bin/strip_comments /etc/firehol/trusted_servers'

blacklist full '/usr/local/bin/strip_comments /etc/firehol/blacklist'

interface lxcbr0 virtual
    policy return 
    server "dhcp dns" accept 

router virtual2internet inface lxcbr0 outface eth0
    masquerade
    route all accept

interface any world
    protection strong

    #Outgoing these protocols are allowed to everywhere
    client "smtp pop3 dns ntp mysql icmp" accept

    #These (incoming) services are available to everyone
    server "http https smtp ftp imap imaps pop3 pop3s passiveftp" accept

    #Outgoing, these protocols are only allowed to known servers
    client "http https webcache ftp ssh pyzor razor" accept dst "${trusted_servers}"

No meu host, posso conectar-me apenas a "servidores confiáveis" na porta 80. No meu convidado, posso conectar-me à porta 80 em cada host. Eu presumi que o firehol iria bloquear isso.

Existe algo que eu possa adicionar / alterar para que meus convidados herdem as regras da interface eth0?

    
por Leon 07.07.2012 / 19:03

1 resposta

1

Você deseja ativar o net.bridge.bridge-nf-call-iptables sysctl, que executará pacotes de ponte através do iptables antes de transmiti-los. Você pode precisar configurar regras separadas, dependendo de como a bridge está configurada, mas você definitivamente pode filtrar pacotes através de uma ponte usando o iptables se você ativar o sysctl.

    
por 07.07.2012 / 20:52