lxc container - internet externa, o que eu perdi?

1

Tenho Ethernet na minha máquina (enp0s10) que conecta a rede real, e eu tenho ponte Ethernet lxcbr0 que reúne recipientes lxc. E eu quero disponibilizar um dos contêineres lxc.

Então eu escrevi:

IFACE=enp0s10
echo "allow inet for lxc"
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
iptables -A FORWARD -i $IFACE -o lxcbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lxcbr0 -o $IFACE -j ACCEPT

echo "allow web for lxc"
iptables -A PREROUTING -t nat -i $IFACE -p tcp --dport 19980 -j DNAT --to 172.20.0.5:80
iptables -A INPUT -p tcp -m state --state NEW --dport 19980 -i $IFACE -j ACCEPT

O primeiro conjunto de regras configura a internet dentro do contêiner lxc, e o segundo conjunto possibilita conectar o servidor web dentro do container lxc, se eu usar url " link ". Todas as obras. Mas depois quero torná-lo mais seguro e terminar as regras com:

iptables -N logdrop
iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG
iptables -A logdrop -j DROP

iptables -A INPUT -p tcp -m state --state NEW -j logdrop
iptables -A INPUT -j logdrop
iptables -A FORWARD -j logdrop

Então eu registro e solto tudo o que não permitir de forma explícita. Depois disso eu entrei em logs:

IN=enp0s10 OUT=lxcbr0 MAC=xxx SRC=192.168.1.1 DST=172.20.0.5 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=57331 DF PROTO=TCP SPT=58432 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 

Então eu não permito que algo e pacotes parem no caminho de enp0s10 para lxcbr0, mas o que exatamente eu perdi e o que precisa consertar?

    
por fghj 05.04.2016 / 00:33

1 resposta

0

Encontrado aqui: link

If you have a default policy of DROP in your FORWARD chain, you must append a rule to allow forwarding of incoming HTTP requests so that destination NAT routing can be possible. To do this, run the following command:

iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT
    
por 05.04.2016 / 12:53