在OpenStack中绕过或停用security group (iptables)

最新推荐文章于 2023-11-09 16:27:19 发布
原创 最新推荐文章于 2023-11-09 16:27:19 发布 · 3.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#network #openstack #security #iptables

本文介绍如何在OpenStack中临时禁用安全组以解决网络问题。通过修改iptables规则,可以允许特定流量绕过安全组限制,便于调试。

目前,OpenStack中默认采用了security group的方式,用系统的iptables来过滤进入vm的流量。这个本意是为了安全,但是往往给调试和开发带来一些困扰。

因此,临时性的禁用它可以排除因为iptables规则错误问题带来的网络不通等情况。

在H版本中,可以通过修改neutron plugin.ini中的firewall配置来禁用security group。

但在I版本中,类似的操作只会让vm出来的流量都无法通过安全网桥。

因此,在正常配置启用security group的情况下,我们需要想办法来让流量绕过它。

通过《深入理解OpenStack中的网络实现》中的分析,我们知道,从vm出来的流量被过滤的规则在 neutron-openvswi-o9LETTERID链上,而到vm里面的规则在neutron-openvswi-i9LETTERID链上。

因此,我们只需要对应在链上添加允许通过的规则即可。

首先,查看vm出来的安全规则链上的规则

iptables -nvL neutron-openvswi-o9LETTERID

一般情况下,类似于下面几条

Chain neutron-openvswi-o4430511a-6 (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    6  1968 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67 
 1437  121K neutron-openvswi-s4430511a-6  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
  278 23352 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 1159 97356 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 neutron-openvswi-sg-fallback  all  --  *      *       0.0.0.0/0            0.0.0.0/0     

可见,默认允许通过的流量只有源端口为67而目标端口68的dhcp请求流量,另外就是neutron-openvswi-s4430511a-6链中,会对源地址和源mac进行检查,如果跟分配到的一致,则允许通过。

例如,我们让所有的ping包(不管源地址和源mac)都允许从vm发出来,则需要添加

iptables -I neutron-openvswi-o9LETTERID -p icmp -j RETURN

更简单粗暴的,允许所有的从vm出来的流量,不进行任何检查,则需要添加

iptables -I neutron-openvswi-o9LETTERID -j RETURN


需要注意的是,这样添加的规则,不在neutron的维护中,因此,过一段时间后会被清理掉,这时候就需要重新添加。

Openstack: Security Group: Neutron & Dragonflow;port_security_enabled;allowed_address_pairs
mzhan017的博客
02-04 636
搜索到的资料,供参考。 https://docs.openstack.org/developer/dragonflow/specs/security_groups.html Neutron的实现是在OVS桥和VM端口之间路径上添加了一个Linux桥。Linux桥是通过IP table 规则来实现端口的安全组。(因为OVS不支持iptables的配置) Current Neutron implementation adds a linux bridge in the path between each por
OpenStack中配置NFS作为Glance镜像存储:实现高效镜像管理的完整指南
2402_83235349的博客
03-18 1150
本教程详细讲解如何在OpenStack中配置NFS作为Glance镜像存储,实现多节点共享镜像的高效管理。从NFS服务端搭建、权限配置,到Controller节点挂载与Glance目录权限设置,逐步演示操作命令。涵盖安全加固、性能优化及故障排查技巧,助你轻松构建高可用云平台镜像存储方案。
openstackiptables的使用
Liping Mao's Blog
09-13 8499
openstack中nova使用了iptables实现其网络相关功能,乍看openstackiptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstackiptables表为例,展示了iptablesopenstack中的使用。 Refer: http://www.ibm.com/developerw
OpenStack中的Security Group实现
yeasy的专栏
03-20 8027
【注】 Security Groupopenstack中起到很重要的作用,它直接保护租户的vm。但不恰当的配置也容易导致各种莫名其妙的问题。 理解Security Group的实现,有助于理解OpenStack的设计理念和解决各种网络问题。 最新版pdf也可以从这里下载。 ----------------------------------------------------------
openstack关闭安全组(网络端口)的限制
Linux_kiss的博客
09-26 5225
1、查看用户的项目ID openstack project list | grep ucs_project 2、查看该用户的安全组ID openstack security group list | grep 0db3f2e41e024bebad661f785eec3af2 0db3f2e41e024bebad661f785eec3af2 为该用户的项目ID 3、查找该用户的主机I...
openstack 中文
03-21
除了理论知识,实战书籍通常会包含实践步骤和示例,帮助读者在实际操作中掌握OpenStack。读者可能需要在虚拟环境中者自己的硬件上按照书中的指导进行操作,从而加深理解并积累实践经验。 总的来说,"OpenStack ...
OpenStack 云安全参考指导 security-guide
09-22
OpenStack云安全参考指导(OpenStack Security Guide)是一本为用户提供保护OpenStack云平台安全最佳实践和概念性信息的手册。该文档详细阐述了多种安全措施和配置建议,涵盖从基础系统文档的建立到身份认证、API...
Linux2.4iptablesMAC地址匹配绕过漏洞
站长生活
11-09 583
受影响的系统: Linux kernel 2.4 描述: -------------------------------------------------------------------------------- Linux 2.4内核中包含一个新的功能强大的防火墙体系,名叫Netfilter.它的主要组件是 iptables. Iptables重包含了一个扩展模块是MAC模块,它可以基于M
iptables匹配devgroup
redwingz的博客
04-17 568
devgroup匹配帮助信息如下。 # iptables -m devgroup -h devgroup match options: [!] --src-group value[/mask] Match device group of incoming device [!] --dst-group value[/mask] Match device group of outgoing device 首先,将接口ens39设置到组mygroup中。 # cat /etc/iproute2/gr
Using ipset for security groupiptables too long from N*N -> N?)
Better Me的博客
03-31 1120
https://review.openstack.org/#/c/100761/ Change-Id: I8b9a849c6a4612f6e043c70ca1269cdd6cdc0afb Owner " style="text-decoration:none; c
Linux必选掌握的命令iptables
我是不是菜鸟
03-07 983
iptables iptables指令用来设置Linux内核的ip过滤规则以及管理nat功能。iptables用于在Linux内核中设置、维护和检查IPv4数据包过滤规则表。可以定义几个不同的表。每个表包含许多内置链,也可能包含用户定义的链。每个链都是一个规则列表,可以匹配一组数据包。每条规则都指定如何处理匹配的数据包。这被称为“目标”,它可能是跳转到同一表中的用户定义链。 此命令的适用范围:Re...
修改openstack默认安全组规则
u014706515的博客
11-30 5849
因为项目有一个新的需求,需要修改openstack中每次新建租户后的默认安全组规则。 首先先来分析一下: 我用的openstack版本为queens。每次新建租户后本来是没有安全组的,当使用新租户第一次访问dashboard的安全组列表者调用API时,openstack会自动的为该租户创建一个default安全组,有4条规则。如图 大意就是 1)允许使用该安全组的虚拟机向外部发送一切...
openstack计算节点上iptables安全组分析
一名运维开发工程师的日常记录
11-09 715
由上面可以看出,neutron-openvswi-INPUT链中将来自是 tap323ef4ca-8a和 tapa937d188-d6的流入转给了neutron-openvswi-o323ef4ca-8和 neutron-openvswi-oa937d188-d 两个安全组子链,再看下这俩安全组子链。之前介绍过neutron 安全组基于iptables 和 ct 实现,分析一下计算节点上面的neutron 安全组iptables,加深一下理解iptables以及安全组的实现。FORWARD 链先跳到。
云计算技能大赛 -- openstack私有云环境 第一部分
Knsec
04-14 7128
云计算技能大赛 私有云环境 第一部分
OpenStack Neutron安全组机制探索
weixin_43851330的博客
02-20 2136
过去一直以为,neutron的安全组是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全组iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
openstack虚拟机作为网关配置
qq_42216071的博客
07-11 1012
前提条件 同一个子网中得两个云主机vm1(eth0:192.168.1.2),vm2(eth0:192.168.1.3) 其中vm1还存在另外一张eth1(192.168.1.4)连接外网得网卡,vm2需要通过vm1来连接上网 vm2配置变更如下 设置vm2得网关为vm1得eth1 - route add default gw 192.168.1.4 dev eth1 #临时修改 - 在/etc/sysconfig/network中添加如下配置(永久生效): NETWORKING=yes
OpenStack命令操作【Openstack证书考试 2022】
qq_47848696的博客
04-22 5172
一、keystone 身份认证服务 1.1、配置用户环境变量 1、切换用户(admin):source /home/devstack/openrc admin 2、获取所有用户列表: openstack user list 3、获取环境变量 :export | grep OS 其中: OS_AUTH_TYPE=“password” : “密码验证 OS_AUTH_URL=“http://172.25.0.10/identity” : keyston
openstack security group create my-security-group --description "For web servers" 啥意思
最新发布
07-27
OpenStack 中,安全组Security Group)是用于控制虚拟机实例网络流量的一种机制,类似于防火墙规则。通过 `openstack security group create` 命令可以创建一个新的安全组,并为其分配名称和描述。 ### 命令格式与参数说明 命令的基本格式如下: ```bash openstack security group create [OPTIONS] NAME ``` - `NAME`:指定新创建的安全组的名称,必须是唯一的。 - `[OPTIONS]`:可选参数,用于定义安全组的附加属性,例如描述信息、项目关联等。 例如,创建一个名为 `my-security-group` 的安全组并添加描述信息的命令如下: ```bash openstack security group create --description "Allow SSH and HTTP traffic" my-security-group ``` 该命令创建了一个名为 `my-security-group` 的安全组,并设置了描述信息为 `Allow SSH and HTTP traffic`。 ### 安全组规则的配置 创建安全组后,需要为其添加规则以定义允许拒绝的流量类型。例如,允许 SSH 流量的规则可以使用以下命令: ```bash openstack security group rule create \ --protocol tcp \ --dst-port 22 \ --remote-ip 0.0.0.0/0 \ my-security-group ``` 该命令为 `my-security-group` 添加了一条规则,允许从任意 IP 地址(`0.0.0.0/0`)向目标端口 22(SSH)发送 TCP 协议的数据包。 ### 安全组的使用场景 安全组通常用于控制虚拟机实例的网络访问权限。例如,在创建虚拟机实例时,可以指定一个多个安全组,以确保实例仅接受特定类型的网络流量。这种机制可以有效提升云环境的安全性。 安全组的配置与管理在 OpenStack 的网络服务(Neutron)中实现。Neutron 提供了丰富的 API 和 CLI 工具,用于管理和操作安全组规则[^1]。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值