Home > Serveurs > Utiliser iptables dans un VE OpenVZ

Utiliser iptables dans un VE OpenVZ

octobre 19, 2013 Aucun commentaire sur Utiliser iptables dans un VE OpenVZ

Pour avoir un iptables avec toutes les options au poil qui fonctionne dans des conteneurs OpenVZ, j’ai du faire quelques modifications à l’installation de base. Je te les donne, cadeau, cher lecteur :

Sur la machine hôte :

Il faut charger les modules noyaux suivants :

sudo modprobe ip_conntrack
sudo modprobe ip_conntrack_ftp
sudo modprobe xt_state

Et pour que les modifications soient valables au prochain démarrage, il faut éditer /etc/modules et rajouter :

ip_conntrack
ip_conntrack_ftp
xt_state

Pour que OpenVZ autorise les VE à utiliser les modules iptables qui vont bien, éditer /etc/vz/vz.conf :

## IPv4 iptables kernel modules
IPTABLES=”ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state ipt_conntrack ip_conntrack_ftp iptable_nat ipt_REDIRECT ipt_REJECT”

 

Dans les VE :

Editer /etc/vz/conf/100.conf :

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state ipt_conntrack ip_conntrack_ftp iptable_nat ipt_REDIRECT ipt_REJECT"

Ma conclusion : OpenVZ, c’est excellent, mais plus je l’utilise plus je me rends compte que ça nécessite pas mal de tunning.

Tags: iptables openvz

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.