Dufu
24/04/09, 11:42
Hallo,
sinds enkele dagen heb ik een OpenVZ VPS. Ik weet dat bij OpenVZ VPSen het gebruik van iptables beperkt is. Het enige wat ik eigelijk wil bereiken is alle outbound verkeer toelaten, en inbound alles rejecten tenzij expliciet toegestaan. Hiervoor had ik een Xen VPS waarbij ik iptables op de volgende manier geconfigureerd had (dit is niet de hele configuratie, enkel de relevante regels voor deze thread):
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -i ! lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
Op mijn nieuwe VPS struikelt ip tables over de stateful regel, hetgeen mij doet vermoeden dat mijn hoster op de VPS host de kernel module "ipt_state" niet geladen heeft. Daarom heb ik de stateful regel (r. 3) moeten verwijderen. Echter zodra ik deze configuratie laadt verliest mijn VPS alle outbound connectie mogelijkheden. Heeft iemand hier ervaring mee? Wordt dit veroorzaakt door het verwijderen van de stateful regel? Moeten inbound established connecties toegelaten worden om outbound connecties op te kunnen zetten?
Bestaat hier een workaround voor of moet ik gewoon proberen mijn hoster zover te krijgen dat de ipt_state module geladen wordt op de VPS host?
Bij voorbaat dank voor een reactie!
sinds enkele dagen heb ik een OpenVZ VPS. Ik weet dat bij OpenVZ VPSen het gebruik van iptables beperkt is. Het enige wat ik eigelijk wil bereiken is alle outbound verkeer toelaten, en inbound alles rejecten tenzij expliciet toegestaan. Hiervoor had ik een Xen VPS waarbij ik iptables op de volgende manier geconfigureerd had (dit is niet de hele configuratie, enkel de relevante regels voor deze thread):
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -i ! lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
Op mijn nieuwe VPS struikelt ip tables over de stateful regel, hetgeen mij doet vermoeden dat mijn hoster op de VPS host de kernel module "ipt_state" niet geladen heeft. Daarom heb ik de stateful regel (r. 3) moeten verwijderen. Echter zodra ik deze configuratie laadt verliest mijn VPS alle outbound connectie mogelijkheden. Heeft iemand hier ervaring mee? Wordt dit veroorzaakt door het verwijderen van de stateful regel? Moeten inbound established connecties toegelaten worden om outbound connecties op te kunnen zetten?
Bestaat hier een workaround voor of moet ik gewoon proberen mijn hoster zover te krijgen dat de ipt_state module geladen wordt op de VPS host?
Bij voorbaat dank voor een reactie!