我有apf安装在一个OpenVZ容器(proxmox 2.1)。 configuration是非常香草和事情正在工作。 我的外部服务,如ssh和http正在工作。 我的问题是,http / https上的所有出站stream量被阻止。 如何允许http / https的所有出站stream量。
如果我像这样将EGF更改为1,则所有入站和出站stream量都将被阻止
EGF="1" EG_TCP_CPORTS="21,25,80,443,43,53" EG_UDP_CPORTS="20,21,53" EG_ICMP_TYPES="all" 我用下面的方法打开了一个出站规则
# /usr/local/sbin/apf -a downloads.wordpress.org
如何在不阻止所有stream量的情况下允许http / https上的所有出站stream量? 为什么我会允许所有入站ssh / httpstream量并阻止所有出站stream量?
我有同样的问题 – 使用OpenVZ容器,当入站filter打开时,出站HTTP和HTTPS被阻塞; 当出口filter打开时,所有东西都被堵塞了。
解决方法是从硬件设置容器的IPTABLESconfiguration。 在我的服务器上,默认是(在硬件上的/etc/vz/vz.conf中):
IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length"
我在我的容器的configuration中覆盖了这个(硬件上的/etc/vz/conf/CONTAINERNUMBER.conf)
IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT"
不确定究竟是哪一个,但设置这个并重新启动容器后,APF工作正如所料。
这是为了防止不需要的出站stream量绕过防火墙,消耗不必要的带宽等。