Контейнер OpenVZ для соблюдения правил iptable узла

Я пытаюсь заблокировать исходящий трафик на определенные IP-адреса из контейнеров OpenVZ. Хост-узел имеет список настроек IP-адресов с использованием ipset.

Хост-узел сам успешно блокирует доступ к ip, как это видно при пинге одного из заблокированных IP-адресов.

[root@node0019 ecm]# ping 104.27.131.137
PING 104.27.131.137 (104.27.131.137) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 104.27.131.137 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1388ms

но при пинге из контейнера отвечает

root@ct100:/# ping 104.27.131.137
PING 104.27.131.137 (104.27.131.137) 56(84) bytes of data.
64 bytes from 104.27.131.137: icmp_seq=1 ttl=58 time=26.7 ms
64 bytes from 104.27.131.137: icmp_seq=2 ttl=58 time=26.6 ms
^C
--- 104.27.131.137 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 26.692/26.703/26.714/0.011 ms

Чтобы заблокировать IP, я настраиваю список заблокированных адресов с помощью ipset, а затем использую match-set с помощью приведенной ниже команды.

iptables -I OUTPUT -m set --match-set blocklist01 dst -j DROP

Я предполагаю, что он не заблокирован, потому что я не нацеливаюсь на источник данных.

Все контейнеры подключаются к Интернету через NAT на хосте. Им присваивается внутренний IP-адрес только на хост-узле. Узел узла имеет один IP-адрес для всего трафика контейнера.

Любой совет будет очень признателен.

Источник

0 ответов

Другие вопросы по тегам