[gull] one good netfilter firewall
dc
dc at mjt.ch
Mon Jan 6 10:53:10 CET 2014
On 03/01/2014 23:31, Philippe STRAUSS wrote:
> Qq'un ayant passé par l'expérience douloureuse de mettre au point un
> bon script netfilter pour des containers openVZ?
En fait, t'es chanceux. J'ai toujours les codes pour la version OpenVZ.
Il lisait odnc un fichier de config du genre de celui qui suit. J'ai
aussi la doc en ODT/PDF que je peux t'envoyer pour que tu te fasses une
idee.
Le fichier de config definit simplement des "interfaces" et des
"services". res simple et tres lisible, tout en offrant une grande
surete de modification, ne necessitant pas de connaissances d'iptables
etc.; cela peut donc etre gere par un administrateur lambda.
dc
/*************************************/
interface :
{
id : external
address : *
exposure : external
firewall : yes
}
interface :
{
id : dns_external
address : 33
exposure : external
firewall : yes
}
interface :
{
id : dns_internal
address : 33
exposure : internal
firewall : yes
}
interface :
{
id : mirror_external
address : 17
exposure : external
}
interface :
{
id : mirror_internal
address : 17
exposure : internal
}
interface :
{
id : webmail_external
address : 19
exposure : external
}
interface :
{
id : webmail_internal
address : 19
exposure : internal
}
interface :
{
id : mail_external
address : 31
exposure : external
}
interface :
{
id : internal
address : *
exposure : internal
}
interface :
{
id : mail_internal
address : 35
exposure : internal
}
interface :
{
id : web_internal
address : 18
exposure : internal
}
interface :
{
id : web_external
address : 18
exposure : external
}
interface :
{
id : pop_internal
address : 9
exposure : internal
}
interface :
{
id : pop_external
address : 9
exposure : external
}
interface :
{
id : backup_internal
address : 11
exposure : internal
}
openvz :
{
template : 'debian-5.0-i386-minimal'
config : vps.basic
dns : 192.6.1.32, 192.6.1.31
dmz : 192.168.10.0/24
}
service :
{
# DNS Server
id : 100
port : 53
name : dns3
listen : dns_external, dns_internal
address : 112
rate : 30/s
option : onboot yes
option : 'lockedpages 1024:1200'
option : 'privvmpages 265000:300000'
log : yes
}
service :
{
# Ubuntu mirror repository
id : 101
port : 80
name : aptproxy
listen : mirror_external, mirror_internal
protocol : tcp
address : 40
option : onboot yes
}
service :
{
# Mail server
id : 110
port : 25
name : mail3
listen : mail_internal, mail_external
protocol : tcp
address : 16
option : 'lockedpages 500:600'
option : 'privvmpages 550000:600000'
option : onboot yes
}
service :
{
# Web mail and pop servers.
id : 111
name : webmail1
listen : webmail_external(80), webmail_internal(80,110)
protocol : tcp
address : 19
option : onboot yes
}
service :
{
# Proxy server (Using squid port)
id : 120
port : 3128
name : proxy2
address : 12
listen : internal, external
option : onboot yes
}
service :
{
# Additional MJT's web server
id : 130
port : 80
name : www4
listen : web_external, web_internal
protocol : tcp
address : 18
option : 'lockedpages 1024:1200'
option : 'privvmpages 265000:300000'
option : onboot yes
}
service :
{
# Internal backup server
id : 150
port : 80
name : backup
listen : backup_internal
address : 20
protocol : tcp
option : onboot yes
option : privvmpages 140000
option : lockedpages 512
option : othersockbuf 6500000
option : tcprcvbuf 8500000
option : 'diskspace 995G:1000G'
option : quotatime -1
}
service :
{
id : 200
port : 1194
name : openvpn
protocol : tcp
listen : external, internal
address : 25
option : onboot yes
log : yes
}
service :
{
# Allow ssh to work on OpenVZ controller only.
disable : no
name : ssh
port : ssh
listen : internal
protocol : tcp
}
More information about the gull
mailing list