MM
а там icmp разрешить не надо какие-то?
Size: a a a
2020 January 11
MM
я просто в них не разбираюсь пока совсем.
∀
ну если из виртуалки пинги не нужны, то не обязательно
MM
из виртуалки наверное резолвинг доменов нужен!
∀
а там icmp разрешить не надо какие-то?
ответы вроде port-unreachable он и так должен бы получить, если я не туплю
∀
из виртуалки наверное резолвинг доменов нужен!
жираф большой, ему видней
MM
там запросы на установку софта через apt и на установку питоновских модулей через pip. так что домены резолвить надо.
MM
Добавил
iptables -A chk_qemu_user -dport 53 -j RETURNND
Мне кажется, ты решаешь какую-то довольно частую задачу очень креативным методом
ND
Просто пока не могу угадать какую :-)
AS
Хостинг делает!
MM
Для пингов написал следующее:
# ping
iptables -A chk_qemu_user -p icmp --icmp-type echo-request -j RETURN
iptables -A chk_qemu_user -p icmp --icmp-type echo-reply -j RETURN
MM
Хостинг делает!
почти. 😊
Это сервис, где народ может запускать свои ML-модельки для разных околонаучных проблем.
Это сервис, где народ может запускать свои ML-модельки для разных околонаучных проблем.
p
а там icmp разрешить не надо какие-то?
надо
MM
просто я не админ, а приходится изучать кучу всего админского. Плюс веремени почти нет на всё это... Вот и идёт так медленно...
p
задача запретить виртуалке, которую планирую запускать под юзером qemu, обращаться к локальной сети и локалхосту, только к интерету по http/https.
По аналогии с примером выше пока написал так:
По аналогии с примером выше пока написал так:
# create a new chainно что-то мне кажется, что я что-то забыл разрешить.
iptables --new-chain chk_qemu_user
# use new chain to process packets generated by qemu user. Add it!!!
iptables -A OUTPUT -m owner --uid-owner qemu -j chk_qemu_user
# разрешаем внешние запросы к виртуалке
iptables -A chk_qemu_user -m state --state ESTABLISHED,RELATED -j RETURN
# Запрещаем пакеты к нашим подсетям и к локальным сервисам
iptables -A chk_qemu_user -d 127.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 10.0.0.1/8 -j DROP
iptables -A chk_qemu_user -d 192.168.0.1/16 -j DROP
# запрещаем все порты кроме 80 и 443
iptables -A chk_qemu_user -p tcp -dport 80 -j RETURN
iptables -A chk_qemu_user -p tcp -dport 443 -j RETURN
# Всё остальное запрещаем
iptables -A chk_qemu_user -j DROP
# ipv6 от qemu пока запрещаем полностью, хотя лучше переделать
ip6tables -A OUTPUT -m owner --uid-owner qemu -j DROP
а юзеров ожидается много?
MM
а юзеров ожидается много?
откуда ж я знаю... Как повезёт.
MM
надо
а какие типы icmp надо разрешить?
AS
А ты им не доверяешь да?
p
откуда ж я знаю... Как повезёт.
в iptables пакет проходит по всем правилам до первого совпадения.
Правда, established related в начале несколько облегчают историю
Правда, established related в начале несколько облегчают историю