De la pluie des beignets et iptables

 De la pluie des beignets et iptables

C’est souvent le titre qui prends le plus de temps . C’est le carême comme vous le savez tous hin . Donc grosse période de chaleur après presque 15 jours sans pluie , la pluie fut 🙂 , du coup les beignets sont au feu et un petit soucis iptables rien de tel pour combler un petit trou dans la journée .

J’utilise assez régulièrement des containers OpenVZ avec proxmox , cette fois avec une ip publique et une couche de iptables kivabien rien de bien méchant en soit.

Après avoir lancé le script plus de résolution DNS , apt-get update dans la nature bref en input ok en output que dalle . Bien-sur tu te dis c’est pas le moment .

  • Check des règles
  • Check des logs
  • Tcpdump je vois bien les requêtes sortir mais le retour semble coincer .
SRC=x.x.x.x DST=100.100.100.100 LEN=113 TOS=0x00 PREC=0x00 TTL=49 ID=2814 PROTO=UDP SPT=53 DPT=53503 LEN=93

Je fais bien le suivi de connexion « RELATED,ESTABLISHED » dans mon script . Surtout que c’est un script un peu standardisé.

Vérification que les modules de conntrack sont bien activés

lsmod
-bash: lsmod: command not found

Par défaut proxmox ne charge pas certains modules dans les containers.

Rajouter les modules dont vous avez besoins

vzctl set $CTID --iptables ipt_REJECT --iptables ipt_tos --iptables ipt_TOS --iptables ipt_LOG --iptables ip_conntrack --iptables ipt_limit --iptables ipt_multiport --iptables iptable_filter --iptables iptable_mangle --iptables ipt_TCPMSS --iptables ipt_tcpmss --iptables ipt_ttl --iptables ipt_length   --iptables ipt_state --iptables iptable_nat --iptables ip_nat_ftp --save

Dans votre fichier de conf ctid.conf vous devriez voir une ligne apparaître.
Vous n’avez plus qu’à relancer votre container et vérifier que tout est bien fonctionnel 😉 .

Related posts

Leave a Comment