У меня установлен apf в контейнере OpenVZ (proxmox 2.1). Конфигурация в значительной степени ванильная, и все работает. Мои внешние службы, такие как ssh и http, работают. Моя проблема в том, что весь исходящий трафик по http / https заблокирован. Как разрешить весь исходящий трафик для http / https.
Если я изменю EGF на 1, как это, весь входящий и исходящий трафик будет заблокирован.
EGF="1"
EG_TCP_CPORTS="21,25,80,443,43,53"
EG_UDP_CPORTS="20,21,53"
EG_ICMP_TYPES="all"
Я открыл одно правило для исходящего трафика со следующим
# /usr/local/sbin/apf -a downloads.wordpress.org
Как разрешить весь исходящий трафик по http / https, не блокируя весь трафик? Почему я должен разрешать весь входящий трафик ssh / http и блокировать весь исходящий трафик?
У меня была такая же проблема - при использовании контейнера OpenVZ исходящие HTTP и HTTPS блокировались, когда входящий фильтр был включен; все было заблокировано, когда был включен выходной фильтр.
Решение состоит в том, чтобы установить конфигурацию IPTABLES вашего контейнера с вашего оборудования. На моем сервере значение по умолчанию было (в /etc/vz/vz.conf на оборудовании):
IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length"
Я перезаписал это в конфигурации моего контейнера (/etc/vz/conf/CONTAINERNUMBER.conf на оборудовании)
IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT"
Не уверен, кто именно это сделал, но после настройки и перезапуска контейнера APF работал точно так, как ожидалось.
Это сделано для предотвращения нежелательного исходящего трафика в обход вашего брандмауэра и использования ненужной полосы пропускания и т. Д.