安全组规则与iptables规则的关系
环境
我们以创建一个VM后,iptables中增加的chain和rule来说明安全组与iptables 的关系。下图中,VM1 VM2都加入到了default安全组,处于net1中。新创建的VM3也在net1中,并且加入到default安全组。实验环境为icehouse devstack。
default安全组中的规则为:
允许属于default安全组的VM所有出流量都可以离开,但只有同属于default安全组的VM的流量才可以进入。
创建虚拟机VM3后,会新增一个port(虚拟机在主机上显示的tap设备),其ID为7ba46b88-19ea-4f8a-86e0-9069357d822f,同时指定所属安全组(加入默认default安全组)。此时因为安全组有成员变化,所有计算节点对应的安全组会更新iptables规则。
查看devstack上的filter表中发生的变化如下:
Chainneutron-openvswi-FORWARD (1 references) ---1
neutron-openvswi-sg-chain all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-out tap7ba46b88-19--physdev-is-bridged
neutron-openvswi-sg-chain all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-intap7ba46b88-19 --physdev-is-bridged
Chainneutron-openvswi-INPUT (1 references) ---2
neutron-openvswi-o7ba46b88-1 all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-intap7ba46b88-19 --physdev-is-bridged
Chainneutron-openvswi-i369ad50d-e (1 references) ---3
RETURN all -- 2.2.2.6 0.0.0.0/0
Chainneutron-openvswi-i7ba46b88-1 (1 references) ---4
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
RETURN all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
RETURN all -- 2.2.2.2 0.0.0.0/0
RETURN all -- 2.2.2.4 0.0.0.0/0
RETURN udp -- 2.2.2.3 0.0.0.0/0 udp spt:67 dpt:68
neutron-openvswi-sg-fallback all -- 0.0.0.0/0 0.0.0.0/0
Chainneutron-openvswi-i7e8fb44f-e (1 references) ---5
RETURN all -- 2.2.2.6 0.0.0.0/0
Chainneutron-openvswi-o7ba46b88-1 (2 references) ---6
target prot opt source destination
RETURN udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
neutron-openvswi-s7ba46b88-1 all -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
RETURN all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
RETURN all -- 0.0.0.0/0 0.0.0.0/0
neutron-openvswi-sg-fallback all -- 0.0.0.0/0 0.0.0.0/0
Chainneutron-openvswi-s7ba46b88-1 (1 references) ---7
target prot opt source destination
RETURN all -- 2.2.2.6 0.0.0.0/0 MAC FA:16:3E:A8:8E:3E
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chainneutron-openvswi-sg-chain (6 references) ---8
neutron-openvswi-i7ba46b88-1 all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-outtap7ba46b88-19 --physdev-is-bridged
neutron-openvswi-o7ba46b88-1 all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-intap7ba46b88-19 --physdev-is-bridged
添加新规则的链有1 2 3 5 8,新增加的链有4 6 7,下面分别对其作用进行说明。
1. neutron-openvswi-FORWARD链其实是对filter表的内置链FORWARD进行包装,将原来由FORWARD链处理的数据包转发到包装链。这里新增的两条规则,是指进出桥接端口tap7ba46b88-19的数据包都转至neutron-openvswi-sg-chain。
2. neutron-openvswi-sg-chain链处理安全组策略,进出port的流量都会转到该链上。新增加的规则指1)从tap7ba46b88-19发出到VM3的流量,则由neutron-openvswi-i7ba46b88-1链处理;2)从tap7ba46b88-19发出到网桥的流量(离开VM3),则由neutron-openvswi-o7ba46b88-1链处理。
3. neutron-openvswi-i7ba46b88-1链是新增加的,对于其中的规则说明如下:
1)状态为INVALID欲进入VM3的流量被DROP;
2)状态为RELATED,ESTABLISHED的欲进入VM3的流量由上级链处理,上级链的处理为ACCEPT;
3)源IP为2.2.2.2的流量可以进入VM3(由default安全组中允许同组流量可入的规则决定);
4)源IP为2.2.2.4的流量可以进入VM3,同上;
5)VM3作为DHCP client时,DHCP Server发出的流量都可以通过;
6)与上述不批配的流量由neutron-openvswi-sg-fallback链处理,此链会丢弃所有的流量。
4. neutron-openvswi-o7ba46b88-1链是新增的链,规则说明如下:
1) VM3作为DHCP client时,发送给DHCPServer的流量都可以通过;
2)离开VM3的所有流量先由 neutron-openvswi-s7ba46b88-1链(下面介绍)进行处理;
3) VM3作为DHCP Server发出的消息都会被DROP;
4)从VM3离开的所有状态为INVALID的流量被DROP;
5)从VM3离开的所有状态为RELATED,ESTABLISHED的流量由上一级处理,最终为ACCEPT;
6)其余流量由上一级处理,最终为ACCEPT(由default安全组中的出规则全通决定);
7)此条规则其实没有任何意义。
5. neutron-openvswi-s7ba46b88-1链是新增的链,规则说明如下:
1)源IP为2.2.2.6且MAC为FA:16:3E:A8:8E:3E的流量由上一级处理,主要检查从vm 发出来的网包是否是openstack 所分配的IP 和MAC,如果不匹配,则禁止通过;
2)其余流量被丢弃。
6.链neutron-openvswi-i369ad50d-e和neutron-openvswi-i7e8fb44f-e中新增的规则是由default安全组中允许组内互访决定的。
下图为上述描述的新添加的规则或链的展示。
状态检测是对IPTABLES的一种扩展,用于检测会话之间的连接关系的,有了检测可以实现会话间功能的扩展。状态一共有四种:NEW ESTABLISHED RELATED INVALID
对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接。
而从第二次握手以后的ack都为1,这是正常的数据传输,包括tcp的第二次第三次握手等叫做已建立的连接ESTABLISHED。
还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。
还有第四种,FTP这种古老的拥有的特征,每个端口都是独立的,21号和20号端口都是一去一回、是有关系的,这种关系称之为RELATED。
对K版而言,分析结果与I版类似,需要注意的是,安全组的ID号直接体现在链neutron-openvswi-ixxxxxxxx-x中,当安全组的成员发生变化时,现有成员的neutron-openvswi-ixxxxxxxx-x链的规则不会发生变化。
Chain neutron-openvswi-i1f71d96e-8 (1references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
RETURN all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
RETURN udp -- 2.2.2.2 0.0.0.0/0 udp spt:67 dpt:68
RETURN all -- 0.0.0.0/0 0.0.0.0/0 match-set NETIPv465912bff-aa25-4847-9src
neutron-openvswi-sg-fallback all -- 0.0.0.0/0 0.0.0.0/0
注意,由于切换到K版进行试验,因此端口ID号、DHCP服务器的IP地址都发生变化。下图为了简便,直接在I版的图上进行的修改,不要混淆。
链neutron-openvswi-INPUT的作用是什么?
Chainneutron-openvswi-INPUT (1 references)
neutron-openvswi-o7ba46b88-1 all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-intap7ba46b88-19 --physdev-is-bridged
1.此链是从INPUT链重定向来的,应该是物理机外的设备发送流量到物理机上,然后目的是此物理机上的VM,但这时应该由链neutron-openvswi-ixxxxxxxx-x处理,但为什么要到neutron-openvswi-oxxxxxxxx-x链处理? 使用场景不明白。
2.尝试当两个VM分别位于不同的物理机上时,分别删除所在物理机上的此链的VM的规则,发现二者仍然能够通信。
文章浏览阅读331次。第一部分:准备工作1 安装虚拟机2 安装centos73 安装JDK以上三步是准备工作,至此已经完成一台已安装JDK的主机第二部分:准备3台虚拟机以下所有工作最好都在root权限下操作1 克隆上面已经有一台虚拟机了,现在对master进行克隆,克隆出另外2台子机;1.1 进行克隆21.2 下一步1.3 下一步1.4 下一步1.5 根据子机需要,命名和安装路径1.6 ..._创建一个hadoop项目
文章浏览阅读1.7k次。心脏滴血漏洞HeartBleed CVE-2014-0160 是由heartbeat功能引入的,本文从深入码层面的分析该漏洞产生的原因_heartbleed代码分析
文章浏览阅读1.4k次。前言ofd是国家文档标准,其对标的文档格式是pdf。ofd文档是容器格式文件,ofd其实就是压缩包。将ofd文件后缀改为.zip,解压后可看到文件包含的内容。ofd文件分析工具下载:点我下载。ofd文件解压后,可以看到如下内容: 对于xml文件,可以用文本工具查看。但是对于印章文件(Seal.esl)、签名文件(SignedValue.dat)就无法查看其内容了。本人开发一款ofd内容查看器,..._signedvalue.dat
文章浏览阅读1.8w次,点赞29次,收藏313次。整体系统设计本设计主要是对ADC和DAC的使用,主要实现功能流程为:首先通过串口向FPGA发送控制信号,控制DAC芯片tlv5618进行DA装换,转换的数据存在ROM中,转换开始时读取ROM中数据进行读取转换。其次用按键控制adc128s052进行模数转换100次,模数转换数据存储到FIFO中,再从FIFO中读取数据通过串口输出显示在pc上。其整体系统框图如下:图1:FPGA数据采集系统框图从图中可以看出,该系统主要包括9个模块:串口接收模块、按键消抖模块、按键控制模块、ROM模块、D.._基于fpga的信息采集
文章浏览阅读2.5w次。1.背景错误信息:-- [http-nio-9904-exec-5] o.s.c.n.z.filters.post.SendErrorFilter : Error during filteringcom.netflix.zuul.exception.ZuulException: Forwarding error at org.springframework.cloud..._com.netflix.zuul.exception.zuulexception
文章浏览阅读358次。1.介绍图的相关概念 图是由顶点的有穷非空集和一个描述顶点之间关系-边(或者弧)的集合组成。通常,图中的数据元素被称为顶点,顶点间的关系用边表示,图通常用字母G表示,图的顶点通常用字母V表示,所以图可以定义为: G=(V,E)其中,V(G)是图中顶点的有穷非空集合,E(G)是V(G)中顶点的边的有穷集合1.1 无向图:图中任意两个顶点构成的边是没有方向的1.2 有向图:图中..._给定一个邻接矩阵未必能够造出一个图
文章浏览阅读321次。(十二)、WDS服务器安装通过前面的测试我们会发现,每次安装的时候需要加域光盘映像,这是一个比较麻烦的事情,试想一个上万个的公司,你天天带着一个光盘与光驱去给别人装系统,这将是一个多么痛苦的事情啊,有什么方法可以解决这个问题了?答案是肯定的,下面我们就来简单说一下。WDS服务器,它是Windows自带的一个免费的基于系统本身角色的一个功能,它主要提供一种简单、安全的通过网络快速、远程将Window..._doc server2012上通过wds+mdt无人值守部署win11系统.doc
文章浏览阅读219次。python–xlrd/xlwt/xlutilsxlrd只能读取,不能改,支持 xlsx和xls 格式xlwt只能改,不能读xlwt只能保存为.xls格式xlutils能将xlrd.Book转为xlwt.Workbook,从而得以在现有xls的基础上修改数据,并创建一个新的xls,实现修改xlrd打开文件import xlrdexcel=xlrd.open_workbook('E:/test.xlsx') 返回值为xlrd.book.Book对象,不能修改获取sheett_xlutils模块可以读xlsx吗
文章浏览阅读8.2w次,点赞267次,收藏656次。运行Selenium出现'WebDriver' object has no attribute 'find_element_by_id'或AttributeError: 'WebDriver' object has no attribute 'find_element_by_xpath'等定位元素代码错误,是因为selenium更新到了新的版本,以前的一些语法经过改动。..............._unresolved attribute reference 'find_element_by_id' for class 'webdriver
文章浏览阅读198次。一:模态窗口//父页面JSwindow.showModalDialog(ifrmehref, window, 'dialogWidth:550px;dialogHeight:150px;help:no;resizable:no;status:no');//子页面获取父页面DOM对象//window.showModalDialog的DOM对象var v=parentWin..._jquery获取父window下的dom对象
文章浏览阅读1.7w次,点赞15次,收藏129次。算法(algorithm)是解决一系列问题的清晰指令,也就是,能对一定规范的输入,在有限的时间内获得所要求的输出。 简单来说,算法就是解决一个问题的具体方法和步骤。算法是程序的灵 魂。二、算法的特征1.可行性 算法中执行的任何计算步骤都可以分解为基本可执行的操作步,即每个计算步都可以在有限时间里完成(也称之为有效性) 算法的每一步都要有确切的意义,不能有二义性。例如“增加x的值”,并没有说增加多少,计算机就无法执行明确的运算。 _算法
文章浏览阅读1.5k次,点赞18次,收藏26次。网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求和操作方式,帮助我们构建安全的网络环境。下面,我们将详细介绍一些主要的网络安全标准和规范,以及它们在实际操作中的应用。_网络安全标准规范