[OpenVZ] Rariteit met Iptables Firewall - Linux en overige clients

woensdag 6 mei 2009 09:13

Acties:

Assumption is the mother.....

Topicstarter

Ik heb een vreemd probleem met een iptables firewall op een OpenVZ machine.
Het volgende is aan de hand, als ik de firewall aanzet, dan is niks bereikbaar op de virtuele machine (dus niet de node)

Het volgende staat dan in de iptables als die aanstaat

code:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  kantoor.bla.nl      anywhere            
ACCEPT     all  --  andere bak.bla.nl          anywhere            
ACCEPT     all  --  nog andere bak           anywhere            
ACCEPT     udp  --  no-reverse.bla.nl    no-reverse.bla.nl   udp dpt:domain 
ACCEPT     tcp  --  no-reverse.bla.nl    no-reverse.bla.nl   tcp dpt:domain 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  kantoor.bla.nl      mailscanner.bla.nl  
ACCEPT     udp  --  andere bak.bla.nl          mailscanner.bla.nl  
ACCEPT     udp  --  nog andere bak.bla.nl           mailscanner.bla.nl  
ACCEPT     tcp  --  kantoor.bla.nl     mailscanner.bla.nl  
ACCEPT     tcp  --  andere bak.bla.nl          mailscanner.bla.nl  
ACCEPT     tcp  --  nog andere bak.bla.nl           mailscanner.bla.nl  
ACCEPT     udp  --  anywhere             mailscanner.bla.nl  udp dpt:domain 
ACCEPT     udp  --  anywhere             mailscanner.bla.nl  udp dpt:26 
ACCEPT     udp  --  anywhere             mailscanner.bla.nl  udp dpt:25 
ACCEPT     udp  --  anywhere             mailscanner.bla.nl  udp dpt:ssh 
ACCEPT     tcp  --  anywhere             mailscanner.bla.nl  tcp dpt:domain 
ACCEPT     tcp  --  anywhere             mailscanner.bla.nl  tcp dpt:26 
ACCEPT     tcp  --  anywhere             mailscanner.bla.nl  tcp dpt:smtp 
ACCEPT     tcp  --  anywhere             mailscanner.bla.nl  tcp dpt:ssh 
ACCEPT     all  --  kantoor.bla.nl      anywhere            
ACCEPT     all  --  anderebakbla.nl          anywhere            
ACCEPT     all  --  noganderebak.bla.nl           anywhere            
ACCEPT     all  --  no-reverse.bla.nl    anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Nu zou je denken als je naar de forward rules kijkt dat bijv poort 25 op de vz bereikbaar zou moeten zijn, maar dat is die dus niet.

Volgende vreemde punt is, als ik een iptables -F doet, gaat de machine down (niet bereikbaar).

Iemand enig idee wat dit kan veroorzaken ?

KPN - Vodafone Ziggo Partner

woensdag 6 mei 2009 17:45

Acties:

SambalBij

We're all MAD here

Eerste vraag kan ik niet beantwoorden, ik ken OpenVZ niet dus weet niet hoe de netwerkopbouw daarvan is...

Maar je tweede vraag:
Als je de regels flusht met iptables -F raak je ondermeer de regel

code:

1	ACCEPT all -- anywhere anywhere

uit je INPUT table kwijt... en aangezien van die table de default policy op DROP staat, is er dan geen enkel verkeer meer mogelijk.

[ Voor 23% gewijzigd door SambalBij op 06-05-2009 17:46 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

woensdag 6 mei 2009 19:28

Acties:

gertvdijk

Wat SambalBij zegt. Waarom een 'ACCEPT all anywhere anywhere' regel bij een chain met policy drop?

Welke distro draai je in OpenVZ? In Debian kan je een /etc/iptables/active bestand maken met de iptables commando's. Flushen kan je dan doen zonder dat je gelijk je SSH verbinding kwijtraakt door een '/etc/init.d/iptables restart' te doen.

[ Voor 54% gewijzigd door gertvdijk op 06-05-2009 19:30 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 7 mei 2009 09:04

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

SambalBij schreef op woensdag 06 mei 2009 @ 17:45:
Eerste vraag kan ik niet beantwoorden, ik ken OpenVZ niet dus weet niet hoe de netwerkopbouw daarvan is...

Maar je tweede vraag:
Als je de regels flusht met iptables -F raak je ondermeer de regel
code:
1
ACCEPT     all  --  anywhere             anywhere
uit je INPUT table kwijt... en aangezien van die table de default policy op DROP staat, is er dan geen enkel verkeer meer mogelijk.

in principe staat het probleem los van openVZ, dus dat is eigenlijk onnodige informatie.
En je hebt idd gelijk, dat dan de verbinding wegklapt na een flush.

Maar wat ik niet snap is dat poort 25 gewoon niet word doorgestuurd?

gertvdijk schreef op woensdag 06 mei 2009 @ 19:28:
Wat SambalBij zegt. Waarom een 'ACCEPT all anywhere anywhere' regel bij een chain met policy drop?
Welke distro draai je in OpenVZ? In Debian kan je een /etc/iptables/active bestand maken met de iptables commando's. Flushen kan je dan doen zonder dat je gelijk je SSH verbinding kwijtraakt door een '/etc/init.d/iptables restart' te doen.

Distro in OpenVZ doet er toch niet toe?, het gaat jou denk ik om welke distro het is waar de kernel van openvz in draait ?, dat is ubuntu (dus in principe debian)

Waar ik echter de kluts kwijt raak, is dat ik een identieke machine heb staan, met identieke setup en identieke firewall, en daar draait de firewall wel goed

?
_{die stond dus gewoon uit lol, hij werkt daar ook niet}

/etc/init.d/firewall
Klikkerdeklik pastapot

/etc/firewall.d/mail
Klikkerdeklik pastapot

[ Voor 43% gewijzigd door CrankyGamerOG op 08-05-2009 14:24 ]

KPN - Vodafone Ziggo Partner

donderdag 7 mei 2009 14:40

Acties:

SambalBij

We're all MAD here

CrankyGamerOG schreef op donderdag 07 mei 2009 @ 09:04:
[...]

in principe staat het probleem los van openVZ, dus dat is eigenlijk onnodige informatie.
En je hebt idd gelijk, dat dan de verbinding wegklapt na een flush.

Maar wat ik niet snap is dat poort 25 gewoon niet word doorgestuurd?

Niet helemaal los van OpenVZ denk ik... Bridged OpenVZ de interfaces voor de virtuals rechtstreeks naar de ethernetpoort van de machine, of zit er een 'private' host netwerk achter.
In het eerste geval hangt de VM rechstreeks aan het netwerk en zit de kernel van de host er niet tussen. In dat geval is er dus geen reden om de forward tabel te gebruiken. Die wordt alleen gebruikt als de host als router fungeert tussen twee verschillende netwerkinterfaces.

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 7 mei 2009 15:30

Acties:

gertvdijk

CrankyGamerOG schreef op donderdag 07 mei 2009 @ 09:04:
Maar wat ik niet snap is dat poort 25 gewoon niet word doorgestuurd?

cat /proc/sys/net/ipv4/ip_forward

=1?

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 7 mei 2009 15:35

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

gertvdijk schreef op donderdag 07 mei 2009 @ 15:30:
[...]
cat /proc/sys/net/ipv4/ip_forward
=1?

yup ofcourse, vandaar dat ik ook zo flabbergasted sta ben.

code:

1 2	root@tijdelijk:/etc/vz/conf# cat /proc/sys/net/ipv4/ip_forward 1

KPN - Vodafone Ziggo Partner

vrijdag 8 mei 2009 05:51

Acties:

r0b

Is dat niet het iptables script uit de OpenVZ Wiki

Ik had daar inderdaad dezelfde problemen mee; nooit achter gekomen wat er nou eigenlijk mis was.

Ik zal dit topic volgen

vrijdag 8 mei 2009 09:48

Acties:

CrankyGamerOG

Assumption is the mother.....

Topicstarter

r0b schreef op vrijdag 08 mei 2009 @ 05:51:
Is dat niet het iptables script uit de OpenVZ Wiki
Ik had daar inderdaad dezelfde problemen mee; nooit achter gekomen wat er nou eigenlijk mis was.

Ik zal dit topic volgen

Dit is inderdaad het script uit de wiki ......

Ahhh ik ben dus niet de enigste

KPN - Vodafone Ziggo Partner