在OpenStack中绕过或停用security group (iptables)

最新推荐文章于 2022-08-13 09:22:51 发布
最新推荐文章于 2022-08-13 09:22:51 发布
阅读量3k 收藏
点赞数
分类专栏: OpenStack 文章标签: network openstack security iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeasy/article/details/38751583
版权

目前,OpenStack中默认采用了security group的方式,用系统的iptables来过滤进入vm的流量。这个本意是为了安全,但是往往给调试和开发带来一些困扰。

因此,临时性的禁用它可以排除因为iptables规则错误问题带来的网络不通等情况。

在H版本中,可以通过修改neutron plugin.ini中的firewall配置来禁用security group。

但在I版本中,类似的操作只会让vm出来的流量都无法通过安全网桥。

因此,在正常配置启用security group的情况下,我们需要想办法来让流量绕过它。

通过《深入理解OpenStack中的网络实现》中的分析,我们知道,从vm出来的流量被过滤的规则在 neutron-openvswi-o9LETTERID链上,而到vm里面的规则在neutron-openvswi-i9LETTERID链上。

因此,我们只需要对应在链上添加允许通过的规则即可。

首先,查看vm出来的安全规则链上的规则

iptables -nvL neutron-openvswi-o9LETTERID

一般情况下,类似于下面几条

Chain neutron-openvswi-o4430511a-6 (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    6  1968 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67 
 1437  121K neutron-openvswi-s4430511a-6  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
  278 23352 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 1159 97356 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 neutron-openvswi-sg-fallback  all  --  *      *       0.0.0.0/0            0.0.0.0/0     

可见,默认允许通过的流量只有源端口为67而目标端口68的dhcp请求流量,另外就是neutron-openvswi-s4430511a-6链中,会对源地址和源mac进行检查,如果跟分配到的一致,则允许通过。

例如,我们让所有的ping包(不管源地址和源mac)都允许从vm发出来,则需要添加

iptables -I neutron-openvswi-o9LETTERID -p icmp -j RETURN

更简单粗暴的,允许所有的从vm出来的流量,不进行任何检查,则需要添加

iptables -I neutron-openvswi-o9LETTERID -j RETURN


需要注意的是,这样添加的规则,不在neutron的维护中,因此,过一段时间后会被清理掉,这时候就需要重新添加。

yeasy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Openstack: Security Group: Neutron & Dragonflow;port_security_enabled;allowed_address_pairs
mzhan017的博客
02-04 387
搜索到的资料,供参考。 https://docs.openstack.org/developer/dragonflow/specs/security_groups.html Neutron的实现是在OVS桥和VM端口之间路径上添加了一个Linux桥。Linux桥是通过IP table 规则来实现端口的安全组。(因为OVS不支持iptables的配置) Current Neutron implementation adds a linux bridge in the path between each por
openstack关闭安全组(网络端口)的限制
Linux_kiss的博客
09-26 4904
1、查看用户的项目ID openstack project list | grep ucs_project 2、查看该用户的安全组ID openstack security group list | grep 0db3f2e41e024bebad661f785eec3af2 0db3f2e41e024bebad661f785eec3af2 为该用户的项目ID 3、查找该用户的主机I...
openstackiptables的使用
Liping Mao's Blog
09-13 8337
openstacknova使用了iptables实现其网络相关功能,乍看openstackiptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstackiptables表为例,展示了iptablesopenstack的使用。 Refer: http://www.ibm.com/developerw
OpenStackSecurity Group实现
yeasy的专栏
03-20 7838
【注】 Security Groupopenstack起到很重要的作用,它直接保护租户的vm。但不恰当的配置也容易导致各种莫名其妙的问题。 理解Security Group的实现,有助于理解OpenStack的设计理念和解决各种网络问题。 最新版pdf也可以从这里下载。 ----------------------------------------------------------
openstack
03-21
除了理论知识,实战书籍通常会包含实践步骤和示例,帮助读者在实际操作掌握OpenStack。读者可能需要在虚拟环境或者自己的硬件上按照书的指导进行操作,从而加深理解并积累实践经验。 总的来说,"OpenStack ...
OpenStack云端快速搭建Neutron网络
02-01
在这个详细的教程,我们将学习如何创建多个网络和子网,然后学习创建横跨这些网络的多个虚拟机,以及为静态IP地址确认网络连接性。 如果你缺乏网络经验,或是对OpenStack感到陌生,那么理解Neutron将是一项挑战。...
OpenStack 云安全参考指导 security-guide
09-22
OpenStack 云安全参考文档 security guide
OpenStack在小米私有云平台的实践
02-26
摘要:小米公司OpenStack项目的技术负责人潘晓东分享在使用OpenStack建设小米私有云平台的一些经验和踩过的一些坑,重点探讨在目前OpenStack还不太稳定的情况下,如何建设一个具备企业应用稳定性要求的私有云。...
OpenStack在天河二号的大规模部署实践
01-30
OpenStack本身的设计架构赋予其高度的可扩展性,然而在千节点量级的大规模部署,仍然有许多因素决定了实际实施需要在整体架构和细节优化上进行多方面的尝试与探索,本期《问底》将走进天河二号千节点级实践。...
Linux2.4iptablesMAC地址匹配绕过漏洞
站长生活
11-09 499
受影响的系统: Linux kernel 2.4 描述: -------------------------------------------------------------------------------- Linux 2.4内核包含一个新的功能强大的防火墙体系,名叫Netfilter.它的主要组件是 iptables. Iptables重包含了一个扩展模块是MAC模块,它可以基于M
iptables匹配devgroup
redwingz的博客
04-17 394
devgroup匹配帮助信息如下。 # iptables -m devgroup -h devgroup match options: [!] --src-group value[/mask] Match device group of incoming device [!] --dst-group value[/mask] Match device group of outgoing device 首先,将接口ens39设置到组mygroup。 # cat /etc/iproute2/gr
Using ipset for security groupiptables too long from N*N -> N?)
Better Me的博客
03-31 1067
https://review.openstack.org/#/c/100761/ Change-Id: I8b9a849c6a4612f6e043c70ca1269cdd6cdc0afb Owner " style="text-decoration:none; c
OpenStack命令操作【Openstack证书考试 2022】
qq_47848696的博客
04-22 4076
一、keystone 身份认证服务 1.1、配置用户环境变量 1、切换用户(admin):source /home/devstack/openrc admin 2、获取所有用户列表: openstack user list 3、获取环境变量 :export | grep OS 其: OS_AUTH_TYPE=“password” : “密码验证 OS_AUTH_URL=“http://172.25.0.10/identity” : keyston
Openstack Nova Security Group——安全组之架构篇
热门推荐
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全组 安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
如何在跨域调用绕过security自带的csrf防御机制
qq_42697271的博客
05-26 459
笔者最近碰到了一种需要针对某一域名跳过spring security csrf防御机制的问题,网上找了好久也没找到可行的办法,最后还是笔者自己针对细节的检查,找到了破局的办法,下面介绍一下具体的原理和实现方法 目录一、绕过csrf防御机制的原理二、具体实现三、需要注意的地方 一、绕过csrf防御机制的原理 原理主要就是通过security自带的csrf可以配置对一些特定的uri不进行拦截,而这种配置可以使用/**进行对uri模糊匹配,这样就可以在特定域名的服务给所有请求当前服务的uri加上一个特定.
POSTMAN使用用户和密码绕过Security登录验证
老张的便利贴
02-21 4051
没有人为在配置文件设置用户密码的情况下,默认用户名是user 启动SpringBoot框架的服务后,日志打印密码: 1、第一步,使用用户名和密码生成授权信息 HttpBasic模式要求传输的用户名密码使用Base64模式进行加密。如果用户名是 “admin” ,密码是“ admin”,则将字符串"admin:admin" 使用Base64编码算法加密。加密结果可能是:YWtaW46YWR...
WebService如何绕过WSS:Security验证
weixin_43872819的博客
08-13 485
Springboot与Webservice Server交互绕过WSS:Security
在pycharm安装openstack
最新发布
09-23
要在PyCharm安装OpenStack,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了PyCharm专业版。您可以从PyCharm官方网站下载并安装它。 2. 然后,您需要在PyCharm加载远程Python解释器,即OpenStack所在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值