VServer und Firewall, ip_conntrack

08/06/2008 - 16:13 von Michael Jaros | Report spam
Hallo,

ich bastle gerade auf einem VServer herum. Leider scheinen
iptables-Anweisungen, die mit dem state-Modul zu tun haben, dort nicht
zu funktionieren:

$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
No chain/target/match by that name

Der dafür nötige netfilter-teil (ip_conntrack) ist also nicht verfügbar.
Der Kernel bezeichnet sich als 2.6.18-028stab031.1-openvz-smp.

Da ich auf so einem VServer nicht einfach den Kernel wechseln kann,
wüsste ich gerne, wie das sonst so gehandhabt wird. Ist das
Bereitstellen der netfilter-Funktionalitàt für virtuelle Server
grundsàtzlich technisch irgendwie problematisch? Ist das überall so?
Wie schreiben andere VServer-User eine 'stateful' Firewall?

LG,
Michael
 

Lesen sie die antworten

#1 Burkhard Ott
09/06/2008 - 08:43 | Warnen spam
Am Sun, 08 Jun 2008 14:13:06 +0000 schrieb Michael Jaros:

Hallo,

ich bastle gerade auf einem VServer herum. Leider scheinen
iptables-Anweisungen, die mit dem state-Modul zu tun haben, dort nicht
zu funktionieren:

$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
No chain/target/match by that name

Der dafür nötige netfilter-teil (ip_conntrack) ist also nicht verfügbar.
Der Kernel bezeichnet sich als 2.6.18-028stab031.1-openvz-smp.

Da ich auf so einem VServer nicht einfach den Kernel wechseln kann,
wüsste ich gerne, wie das sonst so gehandhabt wird. Ist das
Bereitstellen der netfilter-Funktionalitàt für virtuelle Server
grundsàtzlich technisch irgendwie problematisch? Ist das überall so?
Wie schreiben andere VServer-User eine 'stateful' Firewall?

LG,
Michael



Normalerweise kannst Du das in der vz.conf mit IPTABLES="ipt_REJECT
ipt_multiport " usw. einschalten.
Dann solltest Du das unter /proc/net/ip_tables_targets finden können.

cheers

Ähnliche fragen