Trở ngại với tường lửa trên Hardware Node – Không thể dùng mô-đun ip_nat và ipt_state

[tranqui89]

Trở ngại với tường lửa trên Hardware Node – Không thể dùng mô-đun ip_nat và ipt_state.


Áp dụng cho:

Parallels Virtuozzo Containers for Linux 4.7


Thông tin
Có các dấu hiệu lỗi khác nhau và có thể bao gồm dưới đây:
- Some iptables rules not working
- Getting the following error when trying to create an iptables rule in the NAT table or when trying to use the STATE module:

Mã:

# iptables -t nat -L iptables v1.3.5: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. #

Nguyên nhân
Vấn đề này thường xuyên xuất hiện bởi vì việc theo dõi kết nối (mô-đun “conntracks”) thì đang bị tắt (disabled) mặc định trên PVC Hardware Node, và dẫn đến iptables không đáp ứng đầy đủ yêu cầu cài đặt.
Bạn phải kiểm tra lại xem có nhận được nhưng thông báo tương tự như dưới đây không::

Mã:

[root@pvclin47 ~]# grep conntrac /etc/modprobe.d/vz-parallels.conf options nf_conntrack ip_conntrack_disable_ve0=1 [root@pvclin47 ~]#

Khi “conntracks” bị tắt, bảng NAT không xuất hiện trong iptables:

Mã:

[root@pvclin47 ~]# cat /proc/net/ip_tables_names mangle filter [root@pvclin47 ~]#

Do đó, không có khả năng sử dụng mô-đun nf_nat và xt_state HW Node.


Giải pháp
Lưu ý: chức năng của mô-đun STATE trong iptables có thể được thay thế bằng cách thêm vào cách qui tắc (rules) cho INPUT và OUTPUT.

Nếu bạn không hài lòng với cách giải quyết đó hoặc bạn cần chức năng của bảng NAT, hãy tiếp tục đọc những dòng dưới đây.

Trước khi bạn bật “conntracks” chúng tôi đề nghị bạn xem các ghi chú cảnh báo dưới đây một cách thận trọng:

Cảnh báo 1: Khi bật “conntracks” sẽ chiếm nhiều tài nguyên trên hệ thống.

Cảnh báo 2: Khi “conntracks” đã được bật, HW Node có thể sẽ không truy cập đến được khi xảy ra tình trạng mạng load cao có nhiều connection.
Đó là bởi vì số lượng connection tracking slots thì bị giới hạn trên một máy chủ vật lý. Bật "conntracks" thì vô cùng nguy hiểm cho PVC HW Node, bởi vì nó cấp phép cho 2 slot tracking một slot kết nối đến container – một kết nối bên ngoài và mội kết nối khác nối HW Node với container. Như vậy, nếu một container mà mở quá nhiều kết nối, HW Node sẽ không có khả năng tạo mới bất kỳ kết nối.
Giả định một tình huống là có cuộc tấn công DDoS vào bất kỳ một container. Khi đó người quản trị HW Node không có khả năng chặn cuộc tấn công này băng cách dừng (stop) container hoặc thêm các rules vào iptables bởi vì người quản trị không có thể kết login vào HardwareNode được nữa.

Enable “conntracks” bằng cách nào:

1. Kiểm tra tất cả các mô-đun cần thiết phải được nạp vào Hardware Node:

Mã:

[root@pvclin47 ~]# lsmod | grep -E "state|nat"

nf_nat_ftp 3489 0
nf_conntrack_ftp 12927 1 nf_nat_ftp
iptable_nat 6236 0
nf_nat 23178 3 vzrst,nf_nat_ftp,iptable_nat
nf_conntrack_ipv4 9848 3 iptable_nat,nf_nat
ip_tables 18021 3 iptable_nat,iptable_mangle,iptable_filter
xt_state 1474 2
nf_conntrack 80758 8 vzrst,nf_nat_ftp,nf_conntrack_ftp,iptable_nat,nf_n at,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state
[root@pvclin47 ~]#

2. Thêm những mô-đun cho việc cấu hình iptables trên HardwareNode:

Mã:

[root@pvclin47 ~]# egrep '^IPTABLES_MODULES' /etc/sysconfig/iptables-config IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length xt_length xt_hl xt_tcpmss xt_TCPMSS xt_multiport xt_limit xt_dscp nf_conntrack iptable_nat" IPTABLES_MODULES_UNLOAD="yes" [root@pvclin47 ~]#

3. Hiệu chỉnh /etc/modprobe.d/vz-parallels.conf và set ip_conntrack_disable_ve0=0:

Mã:

[root@pvclin47 ~]# grep conntrac /etc/modprobe.d/vz-parallels.conf options nf_conntrack ip_conntrack_disable_ve0=0 [root@pvclin47 ~]#

4. Kích hoạt tính năng logging vào iptables để kiểm tra việc hoạt động:

Mã:

[root@pvclin47 ~]# egrep '^kern' /etc/rsyslog.conf kern.* /var/log/messages [root@pvclin47 ~]#

5. Khởi động iptables:

Mã:

[root@pvclin47 ~]# service iptables restart iptables: Applying firewall rules: [ OK ] iptables: Loading additional modules: ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length xt_length xt_hl xt_tcpmss xt_TCPMSS xt_multiport xt_limit xt_dscp ip_conntrack iptable_nat [ OK ] [root@pvclin47 ~]#

6. Khởi động syslog:

Mã:

[root@pvclin47 ~]# service rsyslog restart Shutting down system logger: [ OK ] Starting system logger: [ OK ] [root@pvclin47 ~]#

7. Thêm vào rule để kiểm tra, ví dụ., một kết nối SSH mới:

Mã:

[root@pvclin47 ~]# iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name ssh_attempt --rsource -j LOG --log-prefix "SSH connection attempt: " [root@pvclin47 ~]#

8. Tránh việc theo dõi kết nối TCP khác để tiết kiệm tài nguyên hệ thống:

Mã:

iptables -t raw -I PREROUTING ! --dport 22 -j NOTRACK

9. Thử đăng nhập vào máy chủ bằng SSH trong khi vẫn giám sát log:
Jan 11 02:29:19 pvclin47 kernel: [ 106.459592] SSH connection attempt: IN=eth0 OUT= MAC=00:1c:42:ac:d1:c9:00:1e:67:07:55:95:08:00 SRC=192.168.55.3 DST=10.39.3.111 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=44446 DF PROTO=TCP SPT=51889 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 11 02:29:19 pvclin47 kernel: [ 106.459592] SSH connection attempt: IN=eth0 OUT= MAC=00:1c:42:ac:

Chúc các bạn thực hiện thành công.