Tenho Ethernet na minha máquina (enp0s10) que conecta a rede real,
e eu tenho ponte Ethernet lxcbr0 que reúne recipientes lxc.
E eu quero disponibilizar um dos contêineres lxc.
Então eu escrevi:
IFACE=enp0s10
echo "allow inet for lxc"
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
iptables -A FORWARD -i $IFACE -o lxcbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i lxcbr0 -o $IFACE -j ACCEPT
echo "allow web for lxc"
iptables -A PREROUTING -t nat -i $IFACE -p tcp --dport 19980 -j DNAT --to 172.20.0.5:80
iptables -A INPUT -p tcp -m state --state NEW --dport 19980 -i $IFACE -j ACCEPT
O primeiro conjunto de regras configura a internet dentro do contêiner lxc,
e o segundo conjunto possibilita conectar o servidor web dentro do container lxc,
se eu usar url " link ". Todas as obras. Mas depois quero torná-lo mais seguro e terminar as regras com:
iptables -N logdrop
iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG
iptables -A logdrop -j DROP
iptables -A INPUT -p tcp -m state --state NEW -j logdrop
iptables -A INPUT -j logdrop
iptables -A FORWARD -j logdrop
Então eu registro e solto tudo o que não permitir de forma explícita.
Depois disso eu entrei em logs:
IN=enp0s10 OUT=lxcbr0 MAC=xxx SRC=192.168.1.1 DST=172.20.0.5 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=57331 DF PROTO=TCP SPT=58432 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0
Então eu não permito que algo e pacotes parem no caminho de enp0s10 para lxcbr0,
mas o que exatamente eu perdi e o que precisa consertar?