Документация VMmanager 5 OVZ

Настройка брандмауэра

Брандмауэр — межсетевой экран, который позволяет фильтровать входящий и исходящий сетевой трафик. В ядро Linux встроен брандмауэр netfilter. Для управления им есть несколько фреймворков, в частности: iptables (управление пакетами IPv4), ip6tables (управление пакетами IPv6), ebtables (управление межсетевыми мостами — ethernet bridges).

Принципы работы

При добавлении узла кластера VMmanager создаёт на нём директории /usr/local/mgr5/etc/iptables.rules.d и /usr/local/mgr5/etc/ip6tables.rules.d и записывает в них файлы с правилами iptables и ip6tables. Файлы с правилами перезаписываются при перезапуске VMmanager. Могут быть перезаписаны правила, добавленные администратором сервера. Правила загружаются в порядке, определённом первыми двумя символами названия (00-99). Если номер, например 123, то правило будет обработано двенадцатым по счёту. Если номер _21, то правило будет обработано, но уже после 99.

Имена файлов выглядят следующим образом:

NN_name.rule
Пояснения

В ОС Debian для сохранения правил iptables и ip6tables и автоматического их применения после перезагрузки сервера используются команды iptables-save и iptables-restore. При этом в директории /etc/network/if-up.d/ создаётся скрипт, автоматически выполняемый при поднятии сетевого интерфейса и запускающий команду iptables-restore.

Стандартные правила

При установке VMmanager или добавлении узла кластера на него записываются правила iptables для работы модулей и сервисов панели управления:

iptables -I FORWARD -p all -j ACCEPT
ip6tables -I FORWARD -p all -j ACCEPT
iptables -I INPUT 1 -p tcp --dport 111 -j ACCEPT
iptables -I INPUT 2 -p udp --dport 111 -j ACCEPT
iptables -I INPUT 3 -p tcp --dport 2049 -j ACCEPT
iptables -I INPUT 4 -p udp --dport 2049 -j ACCEPT

Добавление правил

Нажмите Настройки кластера → Брандмауэр → Создать для добавления собственных правил.

Обратите внимание!
Не удаляйте и не изменяйте стандартные правила, они переписываются при обновлении.