Moin zusammen.
Habe da ein blödes Problem mit iptables und Dom0 auf einem Root-Server. Auf dem Server läuft Xen 3.2.1 unter Debain 4 (2.6.18-6-xen-686). Auf dem Dom0 sind iptables-Regeln, die nur bestimmte Ports zu DomU durchlassen. Seit ich eine DomU kopiert und in Betrieb benommen habe (bin zumindest der Meinung, dass der Auslöser war), greifen die Regeln nicht mehr auf der Dom0.
Wie kann ich das Problem beheben? Habe überhaupt keine Ahnung wo ich ansetzen könnte.
iptables -L -v -n zeigt mir an, dass der Traffic-Counter der INPUT-Regeln bei 0 steht, aber die Stelth-Regeln den Treffic braf mitzählen.
Gruß
de.le
iptables in Dom0 keine wirkung
Re: iptables in Dom0 keine wirkung
Falls du Bridging benutzt, ist es ja klar das es nicht funktionieren kann. Davon würde ich aber bei einem RootServer nicht ausgehen. Bei Routing fehlt es an Konfigurationsdetails (Xen config, ip addr, ip route, iptables -L etc)
Re: iptables in Dom0 keine wirkung
Oh, ja, richtig. Ich benutze Bridging, wird nichts geNATet. Im Bridging lässt sich iptables wunderbar einsetzen und es hat ja bisdato bereits funktioniert.
Aber kommen wir mal zur Konfig:
domU.cfg
Das Firewall-Script machts nichts anderes als iptables Regeln zu erstellen, was im Endefekt so aussieht:
iptables -L -n
Den Port 143 (IMAP) habe ich expliziet mit DROP_LOG gesperrt, aber es interessiert iptables überhaupt nicht, also auch kein Eintrag in syslog.
Die IP-Adresse ist aus sicherheitsgründen auf 10.0.0.10 geändert.
Gruß
de.le
Aber kommen wir mal zur Konfig:
domU.cfg
Code: Select all
# Kernel + memory size
kernel = '/boot/vmlinuz-2.6.18-6-xen-686'
ramdisk = '/boot/initrd.img-2.6.18-6-xen-686'
memory = '768'
# Disk device(s).
root = '/dev/sda1 ro'
disk = [ 'file:/home/xen/domains/srv01/disk.img,sda1,w', 'file:/home/xen/domains/srv01/swap.img,sda2,w' ]
# Hostname
name = 'srv01'
# Networking
vif = [ 'ip=10.0.0.10' ]
execfile('/etc/xen/scripts/firewall')
# Behaviour
on_poweroff = 'destroy'
on_reboot = 'restart'
on_crash = 'restart'
Das Firewall-Script machts nichts anderes als iptables Regeln zu erstellen, was im Endefekt so aussieht:
iptables -L -n
Code: Select all
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP_LOG 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT tcp -- 0.0.0.0/0 10.0.0.10 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 10.0.0.10 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 10.0.0.10 tcp dpt:993
ACCEPT tcp -- 0.0.0.0/0 10.0.0.10 tcp dpt:995
DROP_LOG tcp -- 0.0.0.0/0 10.0.0.10 tcp dpt:143
ACCEPT icmp -- 0.0.0.0/0 10.0.0.10
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP_LOG 0 -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT 0 -- 0.0.0.0/0 10.0.0.10 state NEW,RELATED,ESTABLISHED
ACCEPT 0 -- 10.0.0.10 0.0.0.0/0 PHYSDEV match --physdev-in vif31.0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif31.0 udp spt:68 dpt:67
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain ACCEPT_LOG (7 references)
target prot opt source destination
LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `FW-ACCEPT: '
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
Chain DROP_LOG (3 references)
target prot opt source destination
LOG 0 -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `FW-DROP: '
DROP 0 -- 0.0.0.0/0 0.0.0.0/0
Die IP-Adresse ist aus sicherheitsgründen auf 10.0.0.10 geändert.
Gruß
de.le
Re: iptables in Dom0 keine wirkung
Möglich, das auf dom0 ausser /etc/xen/scripts/firewall ein weiteres Iptables-Script aktiv ist ?
Wozu Port 143 abschalten ?
Über Sinn oder Unsinn eines Firewalls zwecks Sicherheit auf einem Rootserver. wurde hier
http://www.rootforum.org/forum/viewforum.php?f=77
schon ausführlich diskutiert.
Gruss, danu
Was spricht dagegen, NAT anzuwenden ?Auf dem Dom0 sind iptables-Regeln, die nur bestimmte Ports zu DomU durchlassen
Wozu Port 143 abschalten ?
Über Sinn oder Unsinn eines Firewalls zwecks Sicherheit auf einem Rootserver. wurde hier
http://www.rootforum.org/forum/viewforum.php?f=77
schon ausführlich diskutiert.
Gruss, danu