De la pluie des beignets et iptables

Publié le 27 mars 2014 par Lmns972 @guestblog

 De la pluie des beignets et iptables

C’est souvent le titre qui prends le plus de temps . C’est le carême comme vous le savez tous hin . Donc grosse période de chaleur après presque 15 jours sans pluie , la pluie fut , du coup les beignets sont au feu et un petit soucis iptables rien de tel pour combler un petit trou dans la journée .

J’utilise assez régulièrement des containers OpenVZ avec proxmox , cette fois avec une ip publique et une couche de iptables kivabien rien de bien méchant en soit.

Après avoir lancé le script plus de résolution DNS , apt-get update dans la nature bref en input ok en output que dalle . Bien-sur tu te dis c’est pas le moment .

  • Check des règles
  • Check des logs
  • Tcpdump je vois bien les requêtes sortir mais le retour semble coincer .
SRC=x.x.x.x DST=100.100.100.100 LEN=113 TOS=0x00 PREC=0x00 TTL=49 ID=2814 PROTO=UDP SPT=53 DPT=53503 LEN=93

Je fais bien le suivi de connexion « RELATED,ESTABLISHED » dans mon script . Surtout que c’est un script un peu standardisé.

Vérification que les modules de conntrack sont bien activés

lsmod
-bash: lsmod: command not found

Par défaut proxmox ne charge pas certains modules dans les containers.

Rajouter les modules dont vous avez besoins

vzctl set $CTID --iptables ipt_REJECT --iptables ipt_tos --iptables ipt_TOS --iptables ipt_LOG --iptables ip_conntrack --iptables ipt_limit --iptables ipt_multiport --iptables iptable_filter --iptables iptable_mangle --iptables ipt_TCPMSS --iptables ipt_tcpmss --iptables ipt_ttl --iptables ipt_length   --iptables ipt_state --iptables iptable_nat --iptables ip_nat_ftp --save

Dans votre fichier de conf ctid.conf vous devriez voir une ligne apparaître.
Vous n’avez plus qu’à relancer votre container et vérifier que tout est bien fonctionnel .

Like this post? Tip me with bitcoin!

1QDhhvhDVh8gq6Td59HKUts6WHjofB88vK

If you enjoyed reading this post, please consider tipping me using Bitcoin. Each post gets its own unique Bitcoin address so by tipping you're not only making my continued efforts possible but telling me what you liked.

Powered by Bitcoin Tips