rl:labs:virt-lxc:contents:05

05. [15p] Filtrare pe bridge

Vrem să facem o legătură simplă directă doar între două containere (red și green) astfel încât să comunice între ele fără ca pachetele să fie prelucrate de sistemul host. Pentru aceasta vom scoate interfețele aferente din bridge-ul br0 și vom crea un nou bridge.

Pentru început scoatem interfețele aferente containerelor red (veth-red) și green (veth-green) din bridge-ul br0:

root@host:~# brctl delif br0 veth-red
root@host:~# brctl delif br0 veth-green
root@host:~# brctl show br0
bridge name	bridge id		STP enabled	interfaces
br0		8000.000c2919b1b2	no		eth0
                                                        veth-blue

Creăm un nou bridge (br1) și adăugăm interfețele veth-red și veth-green în acesta:

root@host:~# brctl addbr br1
root@host:~# brctl addif br1 veth-red
root@host:~# brctl addif br1 veth-green
root@host:~# brctl show br1
bridge name	bridge id		STP enabled	interfaces
br1		8000.f67659f52916	no		veth-green
							veth-red
root@host:~# ip l s dev br1 up
root@host:~# ip a s dev br1
13: br1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
[...]

Configurăm adrese pe stațiile red și green și verificăm apoi conectiviatea între acestea. Configurăm adresele 172.16.12.1/24, respectiv 172.16.12.2/24 și verificăm conectivitatea între acestea:

root@red:~# ip a f dev eth0
root@red:~# ip a a 172.16.12.1/24 dev eth0
root@red:~# ip a s dev eth0
9: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:16:3e:8e:84:21 brd ff:ff:ff:ff:ff:ff
    inet 172.16.12.1/24 scope global eth0
 
root@green:~# ip a f dev eth0
root@green:~# ip a a 172.16.12.2/24 dev eth0
root@green:~# ip a s dev eth0
6: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:16:3e:d1:b2:95 brd ff:ff:ff:ff:ff:ff
    inet 172.16.12.2/24 scope global eth0
 
root@red:~# ping 172.16.12.2
PING 172.16.12.2 (172.16.12.2) 56(84) bytes of data.
64 bytes from 172.16.12.2: icmp_req=1 ttl=64 time=0.319 ms
^C
--- 172.16.12.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.319/0.319/0.319/0.000 ms
 
root@green:~# ping 172.16.12.1
PING 172.16.12.1 (172.16.12.1) 56(84) bytes of data.
64 bytes from 172.16.12.1: icmp_req=1 ttl=64 time=0.191 ms
^C
--- 172.16.12.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.191/0.191/0.191/0.000 ms

Avem conectivitate completă între cele două stații (red și green) inclusiv la nivel de serviciu. Stația green poate accesa serviciile SSH, FTP, telnet de pe stația red:

root@green:~# ssh root@172.16.12.1
[...]
root@red:~#

root@green:~# ftp 172.16.12.1
Connected to 172.16.12.1.
220 (vsFTPd 2.3.5)
Name (172.16.12.1:root): [...]
 
root@green:~# telnet 172.16.12.1
Trying 172.16.12.1...
Connected to 172.16.12.1.
Escape character is '^]'.
Ubuntu 12.04.3 LTS
red login: [...]

Ne propunem să blocăm traficul nesigur (adică FTP și telnet) de la stația green la stația red. Avem soluția configurării unui firewall pe stația red folosind utilitarul iptables. Această soluție are două neajunsuri:

când folosim tehnologii bazate pe containere, este problematică folosirea iptables;
în cazul folosirii soluțiilor de virtualizare, dorim să avem controlul pe sistemul de bază (pe hypervisor)

De aceea dorim să filtrăm acele pachete direct de pe stația host. Stația host nu face însă prelucrarea pachetelor, acestea trec prin bridge-ul br1 deci nu putem folosi iptables sau alt utilitar de prelucrare a traficului. Soluția o reprezintă însă utilitarul ebtables care permite configurarea de firewall la nivelul bridge-ului.

Pentru început vom instala ebtables pe stația host:

root@host:~# apt-get install ebtables

Apoi configurăm ebtables pentru a împiedica traficul telnet și FTP care vine de la stația green către stația red. Sintaxa este similară iptables:

root@host:~# ebtables -A FORWARD -p IPv4 --ip-src 172.16.12.2 --ip-dst 172.16.12.1 --ip-proto tcp --ip-destination-port 21 -j DROP
root@host:~# ebtables -A FORWARD -p IPv4 --ip-src 172.16.12.2 --ip-dst 172.16.12.1 --ip-proto tcp --ip-destination-port 23 -j DROP
root@host:~# ebtables -L FORWARD 
Bridge table: filter
 
Bridge chain: FORWARD, entries: 2, policy: ACCEPT
-p IPv4 --ip-src 172.16.12.2 --ip-dst 172.16.12.1 --ip-proto tcp --ip-dport 21 -j DROP 
-p IPv4 --ip-src 172.16.12.2 --ip-dst 172.16.12.1 --ip-proto tcp --ip-dport 23 -j DROP

Verificăm din nou, conectivitatea SSH, FTP și telnet de la stația green la stația red:

root@green:~# ssh root@172.16.12.1
[...]
root@red:~# 
 
root@green:~# telnet 172.16.12.1
Trying 172.16.12.1...
^C
root@green:~# ftp 172.16.12.1
^C

Observăm că este în continuare funcțională doar conexiunea SSH, nu și FTP și telnet (blocate folosind ebtables). Avem obiectivul îndeplinit: doar conexiunile sigure (pe porturile implicite) sunt permise între green și red.

ebtables nu are acțiune de tip REJECT ci doar DROP. Astfel, inițiatorul unei conexiuni filtrate nu va fi înștiințat de filtrarea pachetelor. Acestea vor fi filtrate iar inițiatorul va trebui să deducă faptul că există o formă de blocare a pachetelor pe drum.