neutron firewall as a sevice

最新推荐文章于 2022-11-20 13:50:41 发布
最新推荐文章于 2022-11-20 13:50:41 发布
阅读量413 收藏
点赞数
分类专栏: grpc neutron 文章标签: 防火墙 iptables 网络 namespace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen2296458025/article/details/53322754
版权

应用背景

  • 为连接在router上的subnet添加防火墙,没有防火墙时连接在同一个router上的subnet是相互联通的。安装防火后如果需要打通subnet之间的网络需要为其设置防火墙规则。

实现原理

  • 在router network namespace中利用iptables进行流量控制,实现neutron firewall。

Before set firewal

show table mangle

ip netns exec qrouter-bf522caa-1fda-4626-8a9c-846bc1818a50 iptables -nvL -t mangle

Chain PREROUTING (policy ACCEPT 68 packets, 6468 bytes)
pkts bytes target     prot opt in     out     source               destination         
70  6672 neutron-l3-agent-PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 68 packets, 6468 bytes)
pkts bytes target     prot opt in     out     source               destination         
70  6672 neutron-l3-agent-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
0     0 neutron-l3-agent-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 116 packets, 9912 bytes)
pkts bytes target     prot opt in     out     source               destination         
120 10264 neutron-l3-agent-OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT 116 packets, 9912 bytes)
pkts bytes target     prot opt in     out     source               destination         
120 10264 neutron-l3-agent-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain neutron-l3-agent-FORWARD (1 references)
pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-INPUT (1 references)
pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-OUTPUT (1 references)
pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-POSTROUTING (1 references)
pkts bytes target     prot opt in     out     source               destination         
50  3592 CONNMARK   all  --  *      qg-aed694eb-3d  0.0.0.0/0            0.0.0.0/0            connmark match  0x0/0xffff0000 CONNMARK save mask 0xffff0000

Chain neutron-l3-agent-PREROUTING (1 references)
pkts bytes target     prot opt in     out     source               destination         
70  6672 neutron-l3-agent-mark  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
70  6672 neutron-l3-agent-scope  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match ! 0x0/0xffff0000 CONNMARK restore mask 0xffff0000
70  6672 neutron-l3-agent-floatingip  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
0     0 MARK       tcp  --  qr-+   *       0.0.0.0/0        169.254.169.254      tcp dpt:80 MARK xset 0x1/0xffff

Chain neutron-l3-agent-float-snat (0 references)
pkts bytes target     prot opt in     out     source               destination         
0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0x0/0xffff0000 CONNMARK save mask 0xffff0000

Chain neutron-l3-agent-floatingip (1 references)
pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-mark (1 references)
pkts bytes target     prot opt in     out     source               destination         
0     0 MARK       all  --  qg-aed694eb-3d *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x2/0xffff

Chain neutron-l3-agent-scope (1 references)
pkts bytes target     prot opt in     out     source               destination         
0     0 MARK       all  --  qr-3ca3a71b-2c *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000
0     0 MARK       all  --  qg-aed694eb-3d *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000
0     0 MARK       all  --  qr-c5abe08a-ad *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000

show chain FORWARD

ip netns exec qrouter-bf522caa-1fda-4626-8a9c-846bc1818a50 iptables -nvL
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination         
    4   408 neutron-l3-agent-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
    0     0 neutron-filter-top  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 neutron-l3-agent-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination         
    8   704 neutron-filter-top  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    8   704 neutron-l3-agent-OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    Chain neutron-filter-top (2 references)
    pkts bytes target     prot opt in     out     source               destination         
    8   704 neutron-l3-agent-local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    Chain neutron-l3-agent-FORWARD (1 references)
    pkts bytes target     prot opt in     out     source               destination         
    0     0 neutron-l3-agent-scope  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    Chain neutron-l3-agent-INPUT (1 references)
    pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x1/0xffff
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9697

    Chain neutron-l3-agent-OUTPUT (1 references)
    pkts bytes target     prot opt in     out     source               destination         

    Chain neutron-l3-agent-local (1 references)
    pkts bytes target     prot opt in     out     source               destination         

    Chain neutron-l3-agent-scope (1 references)
    pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      qr-3ca3a71b-2c  0.0.0.0/0            0.0.0.0/0            mark match ! 0x4000000/0xffff0000
    0     0 DROP       all  --  *      qr-c5abe08a-ad  0.0.0.0/0            0.0.0.0/0            mark match ! 0x4000000/0xffff0000

SET firewall with rule

Show table mangle

ip netns exec qrouter-bf522caa-1fda-4626-8a9c-846bc1818a50 iptables -nvL -t mangle
Chain PREROUTING (policy ACCEPT 68 packets, 6468 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   70  6672 neutron-l3-agent-PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 68 packets, 6468 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   70  6672 neutron-l3-agent-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 neutron-l3-agent-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 116 packets, 9912 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  120 10264 neutron-l3-agent-OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT 116 packets, 9912 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  120 10264 neutron-l3-agent-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain neutron-l3-agent-FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-OUTPUT (1 references)
pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-POSTROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   50  3592 CONNMARK   all  --  *      qg-aed694eb-3d  0.0.0.0/0            0.0.0.0/0            connmark match  0x0/0xffff0000 CONNMARK save mask 0xffff0000

Chain neutron-l3-agent-PREROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   70  6672 neutron-l3-agent-mark  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   70  6672 neutron-l3-agent-scope  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match ! 0x0/0xffff0000 CONNMARK restore mask 0xffff0000
   70  6672 neutron-l3-agent-floatingip  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MARK       tcp  --  qr-+   *       0.0.0.0/0            169.254.169.254      tcp dpt:80 MARK xset 0x1/0xffff

Chain neutron-l3-agent-float-snat (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0x0/0xffff0000 CONNMARK save mask 0xffff0000

Chain neutron-l3-agent-floatingip (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain neutron-l3-agent-mark (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MARK       all  --  qg-aed694eb-3d *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x2/0xffff

Chain neutron-l3-agent-scope (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MARK       all  --  qr-3ca3a71b-2c *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000
    0     0 MARK       all  --  qg-aed694eb-3d *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000
    0     0 MARK       all  --  qr-c5abe08a-ad *       0.0.0.0/0            0.0.0.0/0            MARK xset 0x4000000/0xffff0000

show chain Forward

ip netns exec qrouter-bf522caa-1fda-4626-8a9c-846bc1818a50 iptables -nvL

    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination
    4   408 neutron-l3-agent-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    0     0 neutron-filter-top  all  --  *      *       0.0.0.0/0            0.0.0.0/0 
    0     0 neutron-l3-agent-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination
    8   704 neutron-filter-top  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    8   704 neutron-l3-agent-OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain neutron-filter-top (2 references)
    pkts bytes target     prot opt in     out     source               destination
    8   704 neutron-l3-agent-local  all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain neutron-l3-agent-FORWARD (1 references)
    pkts bytes target     prot opt in     out     source               destination 
    0     0 neutron-l3-agent-scope  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 neutron-l3-agent-iv43b649c11  all  --  *      qr-+    0.0.0.0/0            0.0.0.0/0
    0     0 neutron-l3-agent-ov43b649c11  all  --  qr-+   *       0.0.0.0/0            0.0.0.0/0 
    0     0 neutron-l3-agent-fwaas-defau  all  --  *      qr-+    0.0.0.0/0            0.0.0.0/0
    0     0 neutron-l3-agent-fwaas-defau  all  --  qr-+   *       0.0.0.0/0            0.0.0.0/0

    Chain neutron-l3-agent-INPUT (1 references)
    pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x1/0xffff
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9697

    Chain neutron-l3-agent-OUTPUT (1 references)
    pkts bytes target     prot opt in     out     source               destination

    Chain neutron-l3-agent-fwaas-defau (2 references)
    pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

    Chain neutron-l3-agent-iv43b649c11 (1 references)
    pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       192.168.4.0/24

    Chain neutron-l3-agent-local (1 references)
     pkts bytes target     prot opt in     out     source               destination

    Chain neutron-l3-agent-ov43b649c11 (1 references)
    pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       192.168.4.0/24 

    Chain neutron-l3-agent-scope (1 references)
    pkts bytes target     prot opt in     out     source               destination 
    0     0 DROP       all  --  *      qr-3ca3a71b-2c  0.0.0.0/0            0.0.0.0/0            mark match ! 0x4000000/0xffff0000
    0     0 DROP       all  --  *      qr-c5abe08a-ad  0.0.0.0/0            0.0.0.0/0            mark match ! 0x4000000/0xffff0000
HeartLock007
关注
专栏目录
Openstack安装与配置第五部分(neutron篇)
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
06-22 769
在Linux操作系统上进行OpenStack的neutron安装部署
Neutron — 面向多租户的 VPC 虚拟网络模型
最新发布
烟云的计算
05-11 1539
前面提到,Network 是一个 L2 网络的抽象,Subnet 是一个 L3 网络的抽象,所以 Network 和 Subnet 可以是一对多的关系,就像我们在同一个 VLAN 中配置多个不同 CIDR 的 IP 网络。External Network 是 Provider Network 中一种特殊的应用场景,要求能够与外部 IP 网络进行 L3 路由互通,且具备分配 Floating IP 的功能,这在底层是通过网络节点上的 NAT 功能实现的。具有简单高效的特性,适用于小型生产环境。
NeutronFirewall as a Service(FWaaS)
weixin_34167819的博客
04-28 231
用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。 传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。 FWaaS 的原理也一样,是在 Neutron虚拟 router 上应用防火墙规则,控制进出租户网络的数据。 FWaaS 有三个重要概念: Firewall、Policy 和 Rule。 Firew...
neutron网络节点安装
实践求真知
03-03 986
一 准备网络节点并把相关网络配置好[root@network0 ~]# vi /etc/sysconfig/network [root@network0 ~]# cat /etc/sysconfig/network NETWORKING=yes HOSTNAME=network0 [root@network0 ~]# cat /etc/sysconfig/network-scripts/ifcfg...
openstack neutron-fwaas 防火墙iptables实现细节详解
m0_37313888的博客
02-21 928
我在操作neutron-fwaas的时候发现了一个有趣的现象 当我设置了目的ip为114.114.114.114的包可以通过防火墙时,内部的虚拟机可以ping通114.114.114.114 但是仔细一想这么做难道没问题吗?因为即使内部的ping 114.114.114.114的包可以通过防火墙,114.114.114.114的返回的包仍然无法通过啊 于是我从iptables的变化来看了...
网络教程】Iptables官方教程-学习笔记5--IPTABLES MATCH
jackhh1的博客
11-20 2080
这篇博客介绍iptables和netfilter中所有可用的匹配,章节比较厂,没必要去学习每个匹配的具体细节,大致了解下即可,后续要用到再深入掌握它。
安装neutron防火墙和负载均衡功能
Flytiger
08-04 2354
功能简介FWaaSFirewall as a Service(FWaaS)是 Neutron 的一个高级服务。用户可以用它来创建和管理防火墙,在subnet的边界上对layer 3和layer 4的流量进行过滤。传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。FWaaS 有三个重要
OpenStack(Stein)在Neutron配置FWAAS_v2
RBK的博客
09-18 1373
之前的文章在rocky上配置了,现在换成了Stein,重新试一下。但是原本的步骤好像不太能用了,在官网重新找guide。 Firewall-as-a-Service (FWaaS) v2 scenario 先安装一下,我不知道官网为什么不用安装,好神奇。 yum install -y openstack-neutron-fwaas 编辑配置文件/etc/neutron/neutron.conf,如果字段不存存在,直接写进去 service_plugins = firewall_v2 [service_p
65-Neutron 功能概述1
08-08
对于安全性,Neutron采用两种主要机制:Security Group和Firewall-as-a-Service(FWaaS)。Security Group通过iptables规则限制进出实例的网络流量,保护实例安全。FWaaS则进一步控制虚拟路由器的网络流量,同样基于...
openstack neutron网络模块分析(三)--- 新增plugin
energysober的博客
05-23 2527
neutron添加Plugin 从前几篇的文章中我可以知道neutron plugin分core plugin和service plugin两种,而core plugin来说我们一般不添加,大部分都是添加service plugin,所以,这篇文章主要讲述怎么添加一个service plugin service plugin 代码目录:/neutron/services 在上面的目录下...
Neutron总结-Firewall as a Service(FWaaS)
创新是灵魂,执行是生命。
07-31 4741
理解概念Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。 用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。 传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。
ndc iptables ip命令积累ing
Zach-Zona的博客
11-28 4328
1. adb shell ip route list ip route list //打开WIFI连接热点的信息 default via 192.168.235.4 dev wlan0 metric 323 192.168.235.0/24 dev wlan0 proto kernel scope link src 192.168.235.139 metric 323
iptables数据包、连接标记模块MARK/CONNMARK使用
张同光 (Tongguang Zhang):Hello everyone !
03-31 3547
iptables数据包、连接标记模块MARK/CONNMARK使用
OpenStack Security (quqi99)
技术并艺术着
11-03 1263
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99)OpenStack Security includes security group in compute nodes and FWaaS in l3 node. Security group can be implemented by IPtables
OpenStack Neutron FWaaS 学习( by quqi99 )
热门推荐
技术并艺术着
06-24 1万+
OpenStack Neutron FWaaS 学习 ( by quqi99 ) 作者:张华  发表于:2013-06-24 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明  ( http://blog.csdn.net/quqi99 ) <!-- @page {margin:0.79in} pre {font-f
Neutron三层网络服务实现原理
aa43795381的博客
01-31 875
Neutron 对虚拟三层网络的实现是通过其 L3 Agent (neutron-l3-agent)。该 Agent 利用 Linux IP 栈、route 和 iptables 来实现内网内不同网络内的虚机之间的网络流量,以及虚机和外网之间网络流量的路由和转发。为了在同一个Linux 系统上支持可能的 IP 地址空间重叠,它使用了 Linux network namespace 来提供...
iptables的CONNMARK与MARK
Wait for 的专栏
01-10 7157
iptables的CONNMARK与MARK Posted on January 24, 2012 iptables的CONNMARK与MARK是用于给数据连接和数据包打标记的两个target。一直没搞明白二者的区别。直到昨天花了不少时间解决openwrt下多路合并时工行网银登录问题,才大致弄清这两个target的用法。 两者的区别在于,同样是打标记,但CONNMARK是
neutron防火墙服务fwaas
吴业亮的专栏
12-09 7072
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng一、架构: 二、防火墙与安全组区别 防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来实现。安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 n
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值