iptables in Dom0 keine wirkung

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
de.le
Posts: 2
Joined: 2009-10-18 11:27

iptables in Dom0 keine wirkung

Post by de.le » 2009-10-18 11:58

Moin zusammen.

Habe da ein blödes Problem mit iptables und Dom0 auf einem Root-Server. Auf dem Server läuft Xen 3.2.1 unter Debain 4 (2.6.18-6-xen-686). Auf dem Dom0 sind iptables-Regeln, die nur bestimmte Ports zu DomU durchlassen. Seit ich eine DomU kopiert und in Betrieb benommen habe (bin zumindest der Meinung, dass der Auslöser war), greifen die Regeln nicht mehr auf der Dom0.

Wie kann ich das Problem beheben? Habe überhaupt keine Ahnung wo ich ansetzen könnte.

iptables -L -v -n zeigt mir an, dass der Traffic-Counter der INPUT-Regeln bei 0 steht, aber die Stelth-Regeln den Treffic braf mitzählen.

Gruß
de.le

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: iptables in Dom0 keine wirkung

Post by oxygen » 2009-10-18 12:13

Falls du Bridging benutzt, ist es ja klar das es nicht funktionieren kann. Davon würde ich aber bei einem RootServer nicht ausgehen. Bei Routing fehlt es an Konfigurationsdetails (Xen config, ip addr, ip route, iptables -L etc)

de.le
Posts: 2
Joined: 2009-10-18 11:27

Re: iptables in Dom0 keine wirkung

Post by de.le » 2009-10-18 13:30

Oh, ja, richtig. Ich benutze Bridging, wird nichts geNATet. Im Bridging lässt sich iptables wunderbar einsetzen und es hat ja bisdato bereits funktioniert.

Aber kommen wir mal zur Konfig:
domU.cfg

Code: Select all

#  Kernel + memory size
kernel  = '/boot/vmlinuz-2.6.18-6-xen-686'
ramdisk = '/boot/initrd.img-2.6.18-6-xen-686'
memory  = '768'

#  Disk device(s).
root    = '/dev/sda1 ro'
disk    = [ 'file:/home/xen/domains/srv01/disk.img,sda1,w', 'file:/home/xen/domains/srv01/swap.img,sda2,w' ]

#  Hostname
name    = 'srv01'

#  Networking
vif  = [ 'ip=10.0.0.10' ]
execfile('/etc/xen/scripts/firewall')

#  Behaviour
on_poweroff = 'destroy'
on_reboot   = 'restart'
on_crash    = 'restart'


Das Firewall-Script machts nichts anderes als iptables Regeln zu erstellen, was im Endefekt so aussieht:
iptables -L -n

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0        state RELATED,ESTABLISHED
DROP_LOG   0    --  0.0.0.0/0            0.0.0.0/0        state INVALID
ACCEPT     tcp  --  0.0.0.0/0            10.0.0.10        tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            10.0.0.10        tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            10.0.0.10        tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            10.0.0.10        tcp dpt:995
DROP_LOG   tcp  --  0.0.0.0/0            10.0.0.10        tcp dpt:143
ACCEPT     icmp --  0.0.0.0/0            10.0.0.10

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0        state RELATED,ESTABLISHED
DROP_LOG   0    --  0.0.0.0/0            0.0.0.0/0        state INVALID
ACCEPT     0    --  0.0.0.0/0            10.0.0.10        state NEW,RELATED,ESTABLISHED
ACCEPT     0    --  10.0.0.10             0.0.0.0/0        PHYSDEV match --physdev-in vif31.0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0        PHYSDEV match --physdev-in vif31.0 udp spt:68 dpt:67

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0        state RELATED,ESTABLISHED

Chain ACCEPT_LOG (7 references)
target     prot opt source               destination
LOG        0    --  0.0.0.0/0            0.0.0.0/0        LOG flags 0 level 4 prefix `FW-ACCEPT: '
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain DROP_LOG (3 references)
target     prot opt source               destination
LOG        0    --  0.0.0.0/0            0.0.0.0/0        LOG flags 0 level 4 prefix `FW-DROP: '
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Den Port 143 (IMAP) habe ich expliziet mit DROP_LOG gesperrt, aber es interessiert iptables überhaupt nicht, also auch kein Eintrag in syslog.
Die IP-Adresse ist aus sicherheitsgründen auf 10.0.0.10 geändert.

Gruß
de.le

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: iptables in Dom0 keine wirkung

Post by danu » 2009-10-19 09:40

Möglich, das auf dom0 ausser /etc/xen/scripts/firewall ein weiteres Iptables-Script aktiv ist ?

Auf dem Dom0 sind iptables-Regeln, die nur bestimmte Ports zu DomU durchlassen

Was spricht dagegen, NAT anzuwenden ?

Wozu Port 143 abschalten ?

Über Sinn oder Unsinn eines Firewalls zwecks Sicherheit auf einem Rootserver. wurde hier
viewforum.php?f=77
schon ausführlich diskutiert.

Gruss, danu