系统状态 门户登录

Linux云服务器自定义密钥规则

推荐编辑

默认时,RackConnect自动化完全控制Linux云服务器ibable软件防火墙,用它强制实施网络配置策略处理网络连接不穿透硬件防火墙设备的问题这正是大多数用户需要的功能

对少数先进用户而言,RackConnect自动化取代所有现有ibable规则的方式可能令人沮丧。特殊需求要求除用于执行网络策略外,有能力创建并维护自定义ibs规则

文章描述先进用户可用以修改RackConnect自动化软件防火墙管理默认行为的方法

目标观众本文章

Linux高级用户使用此文章,这些用户熟悉ibable软件防火墙并需要自定义ibs规则执行超出范围的任务网络策略.

不熟悉ibables语法或Linux自定义ibable规则或没有迫切需求创建并维护自己的ibables规则时,我们建议你不修改RackConnect自动化默认行为RackConnect网络策略向软件防火墙管理提供友易增解法比为每个云服务器写自定义ibable规则

创建自定义规则

RackConnect自动化系统每次更新服务器ibable规则时,它检查是否有文件调用/etc/rackconnect-allow-custom-iptables.如果文件存在,则使用略微不同方法更新服务器ibables规则避免完全替换ibable过滤规则,它重建的只是RackConnect创建规则,同时保留所有其他ibable规则因为它合并RackConnect规则自定义规则,我们常指新法合并法反传统阻塞法)通知RackConnect自动化使用合并法

  1. 创建空文件/etc命名
    rackconnect-allow-custom-iptables.

    touch /etc/rackconnect-allow-custom-iptables

  2. 华体会联盟hth强制更新软件防火墙,在MyRackspace门户创建网络策略/etc/rackconnect-allow-custom-iptables文件.最简单的方法就是创建临时专用云服务器策略,假IP地址覆盖所有云服务器策略推向所有云服务器后(从黄向绿修改策略左端指示器),你应该删除它

    添加网络策略截图名称时间策略存取假想专面向云服务器,源码1.1.1.1,目标全全归,目标协议全归网络策略截图黄色,仍然同步网络策略截图绿色同步完全网络策略删除抓图检验TemPolicy,点击删除策略

  3. 验证RackConnect自动化使用合并法RS-RackConnect-INBOUND链服务器ifiturn规则合并法目前用于软件防火墙更新

    # iptables -vnL RS-RackConnect-INBOUND Chain RS-RackConnect-INBOUND (2 references)  pkts bytes target     prot opt in     out     source               destination   ###  #### ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED /* RackConnectChain-INBOUND-RE */   ###  #### ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            /* Local-Loopback */   ...ccepticmp-*0.00.0.0/0/

考量

在大多数情况下,触摸文件并强制自动化更新ibables但也有一些重要事件值得注意

RackConnect规则总比自定义规则运行

RackConnect保留过滤链中所有ACCEPT/DENDY相关规则命名RS-RackConnect-*RS-RackConnect-INBOUND)第一规则初级ibable过滤链INPUT系统)向相关方无条件跳转RS-RackConnect-*链式跳转规则需要保持基本链中第一规则反之,自定义规则可能防止RackConnect自动化登陆服务器

尝试添加ibable规则跳转规则时,RackConnect自动化自动回溯到列表顶部,下次网络策略影响服务器更新因合并法在每个句尾添加无条件返回语句RS-RackConnect-*链式插件自动
继续处理规则跳转规则RS-RackConnect-*链匹配

无法修改RS-RackConnect-*链,除非通过网络策略

全部RS-RackConnect-*网络策略更新时链重建结果人工修改RS-RackConnect-*链由下次更新覆盖

RackConnect自动化保存ips规则

每当RackConnect自动化运行时,它会将当前规则保存到默认系统位置,供Linux分布运行该服务器,确保重开时恢复规则通常,这是期望行为归根结底,你不希望服务器重开时不受保护高级用户偶尔会利用ibable规则存储直到人工投送磁盘实验新规则这一事实,知道他们可以简单重开ibables服务恢复老规则华体会联盟hth如果您是这些用户之一,请注意更新网络策略(由本人或组织内存取MyRackspace门户内账号的另一用户)可能导致RackConnect自动化保存运行规则集实验时盘盘

RackConnect-*规则仅在网络策略改变时才更新

使用位缓存命令备份ibables规则,备注默认值位缓存工具保存所有表链if you reform从使用备份恢复iptables-restore,你可能恢复旧版RS-RackConnect-*链比您目前应该有或怀疑RackConnect自动化可能更新ibable规则创建临时网络策略本文章前文所列方法强制回存自动化更新RS-RackConnect-*链最新版本

故障排除

if you created/etc/rackconnect-allow-custom-iptables,但似乎没有处理您的规则, 有两个可能的原因:

  • RackConnect自动化自此没有更新服务器ib/etc/rackconnect-allow-custom-iptables创建过程

    RackConnect自动化创建 return规则RS-RackConnect-*链以合并模式操作万一你创建/etc/rackconnect-allow-custom-iptablesRackConnect自动化文件尚未更新服务器ibRS-RackConnect-*链式可强制使用软件防火墙刷新创建临时网络策略方法前文详解本文章长至/etc/rackconnect-allow-custom-iptables存在, RackConnect自动化不删除自定义规则简单添加推理符所必备规则

  • RackConnect规则已处理包

    可选规则按优先匹配处理相关规则RS-RackConnect-*链匹配包,ibables按规则处理(ACCEPT或DROP它)并停止处理下一步规则if匹配RS-RackConnect-*规则不足以满足您的需要,你可能需要调整网络策略删除匹配规则以便允许ibable继续下游规则列表

万一你对RackConnect或此修改有任何问题华体会联盟hth联系您的拉克空间支持团队.

更新 约一个月前

Baidu
map