VMmanager: Брандмауэр

Материал из ISPWiki
Перейти к: навигация, поиск

Брандмауэр

При работе с кластером VMmanager, администраторам часто приходится настраивать брандмауэр на каждом узле кластера. Обычно для этих целей используется iptables

Так как VMmanager добавляет на каждый узел кластера собственные правила iptables при рестарте libvirt, то правила, которые добавил администратор, могут быть затерты VMmanager.

Принцип работы

При добавлении узла кластера, VMmanager создает на нем директории /etc/vmmgr/iptables.rules.d и /etc/vmmgr/ip6tables.rules.d и записывают в них файлы с правилами.

Имена файлов выглядят следующим образом:

NN_name.rule
  • NN - вес правила (правила с меньшим весом выполняются раньше)
  • name - произвольное имя
# find /etc/vmmgr/ip*
/etc/vmmgr/ip6tables.rules.d
/etc/vmmgr/ip6tables.rules.d/10_prepare.rule
/etc/vmmgr/iptables.rules.d
/etc/vmmgr/iptables.rules.d/10_prepare.rule
/etc/vmmgr/iptables.rules.d/20_vmmgr.rule

Внутри файла содержатся правила iptables, которые будут выполнены по очереди.

# cat /etc/vmmgr/iptables.rules.d/20_vmmgr.rule
-A INPUT -p tcp -m tcp --dport 2049 -j ACCEPT 
-A INPUT -p udp -m udp --dport 2049 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 5900:6900 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 15000:16000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 49152:49261 -j ACCEPT 

При перезапуске libvirt будут прочитаны и выполнены все файлы с правилами. Необходимо помнить, что файлы считываются в порядке увеличения номеров (10_prepare.rule выполнится раньше, чем 20_vmmgr.rule)

Добавление своих правил

Добавление своих правил нужно производить через панель управления. При этом стандартные правила нельзя трогать, т.к. они могут быть перезаписаны при обновлении.

Приоритет добавляемых правил должен должен быть не меньше 11, так как правило с приоритетом 10 производит очистку текущих правил.

Панель позволяет добавлять правила только в таблицу filter.