Article ID: 875, created on Feb 18, 2009, last review on May 11, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo containers for Linux 4.6
  • Virtuozzo containers for Linux 4.0
  • Virtuozzo hypervisor
  • Virtuozzo hypervisor

Lösung

Für die Installation einer APF müssen einige zusätzliche Schritte auf dem Hardware-Node durchgeführt werden.

1. Zunächst muss definiert werden, welche iptables-Module für VEs verfügbar sein sollen.

Bearbeiten Sie die Datei /etc/sysconfig/iptables-config auf einem Virtuozzo Hardware-Node:
IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"

Bearbeiten Sie die Datei /etc/sysconfig/vz auf einem Virtuozzo Hardware-Node:
IPTABLES="ipt_REJECT
ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"

Beachten Sie, dass die Liste der IPtables-Module in IPTABLES und die IPTABLES_MODULES-Parameter in den Dateien /etc/sysconfig/vz und /etc/sysconfig/iptables-config in einer einzigen Zeile stehen müssen. In diesem Parameter sind Zeilenumbrüche nicht zulässig.

Starten Sie Virtuozzo neu. Alle VEs werden neu gestartet.
# service vz restart

2. Erweitern Sie den Parameter 'numiptent' für die VE, in der Sie die APF installieren müssen. Dieser Parameter beschränkt die Anzahl der für eine VE verfügbaren iptables-Regeln. Eine APF-Standardkonfiguration erfordert ca. 400 Regeln. Beim nachfolgenden Beispiel für VE #101 wird eine Zahl von 400 Regeln angenommen:
# vzctl set 101 --numiptent 400 --save

3. Installieren Sie die APF in der VE. Bearbeiten Sie die Datei /etc/apf/conf.apf in der VE und legen Sie folgende Parameter fest:
IFACE_IN="venet0"
IFACE_OUT="venet0"
SET_MONOKERN="1"

4. Starten Sie die APF in der VE:
# /etc/init.d/apf start

e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0c05f0c76fec3dd785e9feafce1099a9 36627b12981f68a16405a79233409a5e 35c16f1fded8e42577cb3df16429c57a a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef 6311ae17c1ee52b36e68aaf4ad066387

Email subscription for changes to this article
Save as PDF