Как настроить постоянную фильтрацию пакетов (SMTP, Telnet, порт) на трех экземплярах Linux в докере? Правила IP-таблиц н

Как настроить постоянную фильтрацию пакетов (SMTP, Telnet, порт) на трех экземплярах Linux в докере? Правила IP-таблиц н ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Как настроить постоянную фильтрацию пакетов (SMTP, Telnet, порт) на трех экземплярах Linux в докере? Правила IP-таблиц н

Цитата

Сообщение Anonymous » 12 дек 2024, 17:40

Проблема:
Мне нужно настроить 3 экземпляра Linux, которые работают в Docker-контейнерах OpenStack.
Маршрутизаторы: Rout, Pout, Mout< /p>
Rout — должен блокировать соединения SMTP и Telnet, поступающие от HostR1 на интерфейс sw0.4 и пытающиеся выйти за пределы локальной сети/станции (т. е. любого другого интерфейса)
Надуться - должно блокировать любые соединения, исходящие от HostP1, пытающиеся получить доступ к Mout через порт 9139, на котором выполняется скрипт отслеживания Python (UDP).
Mout — должен блокировать ВСЕ внешние соединения (т. е. IP-адреса за пределами станции) к HostM1, за исключением icmp и ssh.
! Важно: не блокируйте соединения и ответы, инициализированные HostM1 и в его направлении. Используйте правила с отслеживанием состояния (отслеживание соединений)!
Mout подключен к Rout на интерфейсе sw0.5, а Rout подключен к MainHost на интерфейсе-хост. MainHost также подключен к Pout по интерфейсу или-pout.
Мое решение, которое не работает:

В пути:

Код: Выделить всё

 up iptables -A FORWARD -s 10.26.102.67 -p tcp --dport telnet -j REJECT
up iptables -A FORWARD -s 10.26.102.67 -p tcp --dport 25 -j REJECT

iptables -L -n -v:
Цепочка FORWARD (политика ПРИНИМАЕТ 0 пакетов, 0 байт)
pkts bytes target prot выбрать исходный пункт назначения

1 60 REJECT tcp -- * * 10.26.102.67 0.0.0.0/0 tcp dpt:23 отклонить-с icmp-портом недостижимым
0 0 ОТКЛОНИТЬ tcp -- * * 10.26.102.67 0.0.0.0/0 tcp dpt:25 отклонить-с icmp-портом недостижимым< /p>

На Pout:

Код: Выделить всё

 up iptables -A FORWARD -s 10.26.102.194 -p udp -d 10.26.102.66 --dport 9123 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 10.26.102.129 --dport 9123 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 172.30.139.245 --dport 9130 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 172.30.139.241 --dport 9130 -j REJECT

По Милану: -решения пока нет

Команды, показанные выше для Rout и Pout, находятся в файле .conf, который применяется при перезагрузке или с помощью: ifdown --force -a && ifup -a.
ifdown-ng уже установлен, и я не могу установить другие пакеты на эти экземпляры, потому что мои экземпляры будут Break.
Я вижу, что первое правило Rout отклонило некоторые пакеты, но программа проверки, которую я использую, по-прежнему говорит:
ВНИМАНИЕ: некоторый необходимый исходящий трафик заблокирован (попробуйте удалить некоторые правила)!

Подробнее здесь: https://stackoverflow.com/questions/792 ... -linux-ins

1734014456

Anonymous

Проблема:
Мне нужно настроить 3 экземпляра Linux, которые работают в Docker-контейнерах OpenStack.
Маршрутизаторы: Rout, Pout, Mout< /p>
Rout — должен блокировать соединения SMTP и Telnet, поступающие от HostR1 на интерфейс sw0.4 и пытающиеся выйти за пределы локальной сети/станции (т. е. любого другого интерфейса)
Надуться - должно блокировать любые соединения, исходящие от HostP1, пытающиеся получить доступ к Mout через порт 9139, на котором выполняется скрипт отслеживания Python (UDP).
Mout — должен блокировать ВСЕ внешние соединения (т. е. IP-адреса за пределами станции) к HostM1, за исключением icmp и ssh.
! Важно: не блокируйте соединения и ответы, инициализированные HostM1 и в его направлении. Используйте правила с отслеживанием состояния (отслеживание соединений)!
Mout подключен к Rout на интерфейсе sw0.5, а Rout подключен к MainHost на интерфейсе-хост. MainHost также подключен к Pout по интерфейсу или-pout.
Мое решение, которое не работает:
[list]
[*]
В пути:
[code] up iptables -A FORWARD -s 10.26.102.67 -p tcp --dport telnet -j REJECT
up iptables -A FORWARD -s 10.26.102.67 -p tcp --dport 25 -j REJECT
[/code]

[/list]
iptables -L -n -v:
Цепочка FORWARD (политика ПРИНИМАЕТ 0 пакетов, 0 байт)
pkts bytes target prot выбрать исходный пункт назначения

1 60 REJECT tcp -- * * 10.26.102.67 0.0.0.0/0 tcp dpt:23 отклонить-с icmp-портом недостижимым
0 0 ОТКЛОНИТЬ tcp -- * * 10.26.102.67 0.0.0.0/0 tcp dpt:25 отклонить-с icmp-портом недостижимым< /p>
[list]
[*]На Pout:
[code] up iptables -A FORWARD -s 10.26.102.194 -p udp -d 10.26.102.66 --dport 9123 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 10.26.102.129 --dport 9123 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 172.30.139.245 --dport 9130 -j REJECT
up iptables -A FORWARD -s 10.26.102.194 -p udp -d 172.30.139.241 --dport 9130 -j REJECT
[/code]

[*]По Милану: -решения пока нет

[/list]Команды, показанные выше для Rout и Pout, находятся в файле .conf, который применяется при перезагрузке или с помощью: ifdown --force -a && ifup -a.
ifdown-ng уже установлен, и я не могу установить другие пакеты на эти экземпляры, потому что мои экземпляры будут Break.
Я вижу, что первое правило Rout отклонило некоторые пакеты, но программа проверки, которую я использую, по-прежнему говорит:
ВНИМАНИЕ: некоторый необходимый исходящий трафик заблокирован (попробуйте удалить некоторые правила)! 

Подробнее здесь: [url]https://stackoverflow.com/questions/79275498/how-to-configure-persistent-packet-filtering-smtp-telnet-port-on-3-linux-ins[/url]