Назад | Перейти на главную страницу

Разрешение исходящего трафика с помощью APF / iptables для контейнера OpenVZ

У меня установлен apf в контейнере OpenVZ (proxmox 2.1). Конфигурация в значительной степени ванильная, и все работает. Мои внешние службы, такие как ssh и http, работают. Моя проблема в том, что весь исходящий трафик по http / https заблокирован. Как разрешить весь исходящий трафик для http / https.

Если я изменю EGF на 1, как это, весь входящий и исходящий трафик будет заблокирован.

EGF="1"
EG_TCP_CPORTS="21,25,80,443,43,53"
EG_UDP_CPORTS="20,21,53"
EG_ICMP_TYPES="all"

Я открыл одно правило для исходящего трафика со следующим

# /usr/local/sbin/apf -a downloads.wordpress.org

Как разрешить весь исходящий трафик по http / https, не блокируя весь трафик? Почему я должен разрешать весь входящий трафик ssh / http и блокировать весь исходящий трафик?

У меня была такая же проблема - при использовании контейнера OpenVZ исходящие HTTP и HTTPS блокировались, когда входящий фильтр был включен; все было заблокировано, когда был включен выходной фильтр.

Решение состоит в том, чтобы установить конфигурацию IPTABLES вашего контейнера с вашего оборудования. На моем сервере значение по умолчанию было (в /etc/vz/vz.conf на оборудовании):

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length"

Я перезаписал это в конфигурации моего контейнера (/etc/vz/conf/CONTAINERNUMBER.conf на оборудовании)

IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state  ipt_helper  iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT"

Не уверен, кто именно это сделал, но после настройки и перезапуска контейнера APF работал точно так, как ожидалось.

Это сделано для предотвращения нежелательного исходящего трафика в обход вашего брандмауэра и использования ненужной полосы пропускания и т. Д.