VestaCP e Iptables su container Proxmox

Utilizzando il Pannello VestaCP su una macchina virtuale (container) sotto Proxmox ho riscontrato che non potevo inviare mail tramite smtp.

Indagando sono riuscito a capire che iptables non funziona correttamente nei container di Proxmox.
In particolare queste regole ad esempio non si attivano:
– append INPUT – match state – state ESTABLISHED, RELATED – jump ACCEPT
– append OUTPUT – match state – state ESTABLISHED, RELATED – jump ACCEPT
Allora, visto che modprobe non è attivo nei container ho trovato che nella macchina padre Proxmox bisogna modificare il file

/etc/vz/vz.conf
e nella sezione IPv4 modificare la riga IPTABLES in:

IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc ipt_REDIRECT xt_mac ipt_owner"

A questo punto riavviare la macchina e dai container le regole viste sopra funzionano..
Ma ho visto anche che lo script di attivazione di iptables di vestaCP fa un test per verificare se e’ presente il modulo “state” che non funziona ancora..

Allora ho modificato il file
/usr/local/vesta/bin/v-update-firewall

alla riga 41 e seguenti in questo modo:

# Checking conntrack module avaiabilty
#$modprobe nf_conntrack >/dev/null 2>&1
#$modprobe nf_conntrack_ftp >/dev/null 2>&1
cat /proc/net/ip_tables_matches | grep state > /dev/null 2>&1
if [ $? -ne 0 ]; then
stateful='no'
fi

riavviando dal pannello VestaCP il servizio di firewall, ora tutto funziona a dovere !!

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.