Pour avoir un iptables avec toutes les options au poil qui fonctionne dans des conteneurs OpenVZ, j’ai du faire quelques modifications à l’installation de base. Je te les donne, cadeau, cher lecteur :

Sur la machine hôte :

Il faut charger les modules noyaux suivants :

sudo modprobe ip_conntrack
sudo modprobe ip_conntrack_ftp
sudo modprobe xt_state

Et pour que les modifications soient valables au prochain démarrage, il faut éditer /etc/modules et rajouter :

ip_conntrack
ip_conntrack_ftp
xt_state

Pour que OpenVZ autorise les VE à utiliser les modules iptables qui vont bien, éditer /etc/vz/vz.conf :

## IPv4 iptables kernel modules
IPTABLES=”ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state ipt_conntrack ip_conntrack_ftp iptable_nat ipt_REDIRECT ipt_REJECT”

Dans les VE :

Editer /etc/vz/conf/100.conf :

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state ipt_conntrack ip_conntrack_ftp iptable_nat ipt_REDIRECT ipt_REJECT"

Ma conclusion : OpenVZ, c’est excellent, mais plus je l’utilise plus je me rends compte que ça nécessite pas mal de tunning.