Tenho Ethernet na minha máquina (enp0s10) que conecta a rede real, e eu tenho ponte Ethernet lxcbr0 que reúne recipientes lxc. E eu quero disponibilizar um dos contêineres lxc.
Então eu escrevi:
IFACE=enp0s10
echo "allow inet for lxc"
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
iptables -A FORWARD -i $IFACE -o lxcbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lxcbr0 -o $IFACE -j ACCEPT
echo "allow web for lxc"
iptables -A PREROUTING -t nat -i $IFACE -p tcp --dport 19980 -j DNAT --to 172.20.0.5:80
iptables -A INPUT -p tcp -m state --state NEW --dport 19980 -i $IFACE -j ACCEPT
O primeiro conjunto de regras configura a internet dentro do contêiner lxc, e o segundo conjunto possibilita conectar o servidor web dentro do container lxc, se eu usar url " link ". Todas as obras. Mas depois quero torná-lo mais seguro e terminar as regras com:
iptables -N logdrop
iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG
iptables -A logdrop -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j logdrop
iptables -A INPUT -j logdrop
iptables -A FORWARD -j logdrop
Então eu registro e solto tudo o que não permitir de forma explícita. Depois disso eu entrei em logs:
IN=enp0s10 OUT=lxcbr0 MAC=xxx SRC=192.168.1.1 DST=172.20.0.5 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=57331 DF PROTO=TCP SPT=58432 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0
Então eu não permito que algo e pacotes parem no caminho de enp0s10 para lxcbr0, mas o que exatamente eu perdi e o que precisa consertar?
Encontrado aqui: link
If you have a default policy of DROP in your FORWARD chain, you must append a rule to allow forwarding of incoming HTTP requests so that destination NAT routing can be possible. To do this, run the following command:
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT