云安全技术与应用防火墙规则、云安全技术与应用7.4.1防火墙规则3.pptVIP

防火墙规则3 * nova-network 启动时的规则 图 3 显示了 FlatDHCPManager 的部分启动进程。之前介绍过的 __init__() 方法，它可构成 IptableManager 对象来创建很多 OpenStack 链。所以，我们将着重介绍 init_host()。init_host() 方法调用 LinuxNet3 的 initialize() 方法，它调用 linux_net 的方法来设置 NAT 表内的一些 iptables 规则。 * 元数据主机的规则 在由 linux_net 的 init_host() 创建的这些规则之中，其中的一个规则就是允许 FLAGS.fixed_range 下的 IP 访问 metadata_host（在本例中为 192.168.1.90）。 -A nova-network-POSTROUTING -s 10.0.0.0/8 -d 192.168.1.90/32 -j ACCEPT ensure_metadata_ip() 将 169.254.169.254/32 添加到 lo 设备，使用命令如下： # ip addr add 169.254.169.254/32 scope link dev lo 然后，metadata_forward() 将一个 dNAT 规则添加到 route 包，从 169.254.169.254/32 到 metadata_host： -A nova-network-PREROUTING -d 169.254.169.254/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.90:8775 如果此 nova-network 和 nova-api 并未在相同的主机上运行，那么您必须定义 nova-network 上的 metadata_host 来指向此 nova-api 主机。 * dmz 和VM的规则 访问 dmz 的规则 FLAGS.dmz_cidr 定义了一个 dmz 列表（边界联网）CIDRs（无类别域间路由）。在默认的情况下，它是一个空列表。在本例中为 10.128.0.0/24。所以，此规则为： -A nova-network-POSTROUTING -s 10.0.0.0/8 -d 10.128.0.0/24 -j ACCEPT VM 之间互相连接的规则 另一个规则是确保具有两个规定 IP 的 VM 能够互相会话： -A nova-network-POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -m conntrack ! --ctstate DNAT -j ACCEPT * 固定子集之外的访问所需规则 add_snat_rule() 方法将一个 sNAT 规则添加到此 NAT 表的已包装链 sNAT 内。在 图 3 中可以看到 ip_range 和 FLAGS.routing_source_ip。ip_range 的值是由 FLAGS.fixed_range 定义。在本例中为 10.0.0.0/8。FLAGS.routing_source_ip 默认为 FLAGS.my_ip，由函数 flags._get_my_ip() 默认。在本例中，FLAGS.my_ip 为 192.168.1.90。在这之后，您会获得一个规则，类似于： 1 -A nova-network-snat -s 10.0.0.0/8 -j SNAT --to-source 192.168.1.90 为了固定 IP 能够访问外部，必须创建一个是 FLAGS.fixed_range 子集的网络。这样一来，随着默认网关指向 nova-network 机器上的 br100 的一个 IP ，具有此子集 IP 的 VM 就将能够访问一个外部网络。 * 每个网络的规则 要设置一个网络，nova-network 会在此 filter 表内创建一些规则。要触发此 nova-network 在给定网络上的操作，可运行如下命令： 创建一个网络并设置主机： # ./bin/nova-manage network create mynet 10.10.10.0/24 引导一个服务器： nova boot --image a3fb743d-42df-49ba-b9c4-8042ebbd344e --flavor 1 myserver 执行这些命令后，如下规则适用： 支持转发流量传递桥，这样 br100 上的 IP 就可以充当一个网关： -A nova-network-FORWARD -i br100 -j ACCEPT -A nova-network-FORWARD -o