Openstack 中的防火墙规则分析

上周花了几天研究了一下Openstack的Security Group防火墙规则,总结下上周的成果。

一、介绍下我的环境。

操作系统:RHEL6.4+Openstack官方内核

Openstack版本:Havana

网络模式:ML2+Linuxbridge

租户网络:VLAN

二、Iptables 流向

INPUT

neutron-linuxbri-INPUT

neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d

neutron-linuxbri-sg-fallback

OUTPUT

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-OUTPUT

FORWORD

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-FORWARD

neutron-linuxbri-sg-chain=>A

A=>neutron-linuxbri-i45d1d6e0-d=>B

A=>neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d=>B

B=>neutron-linuxbri-sg-fallback

这个流向搞的太乱了,改天整理成个图片。

这里只分析二层数据包流向。

三、总结下

1、真正干活的其实就是:

neutron-linuxbri-i45d1d6e0-d

neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d

2、neutron-linuxbri-i45d1d6e0-d 这个做的是进入虚拟机的流控制,按Openstack默认的安全组的话同一个网络下的不同租户的网络是不通的。

3、neutron-linuxbri-s45d1d6e0-d 这个是做ip和mac绑定功能的。

4、neutron-linuxbri-o45d1d6e0-d 这个做的是出去虚拟机流控制,按照Openstack默认的安全组的话全部通过。

5、这几条子链名称命名规则是:用的L2Agent名称的前16为-数据流向[i/o/s]-端口UUID前11位。

时间: 2024-10-08 10:45:53

Openstack 中的防火墙规则分析的相关文章

Openstack中RabbitMQ RPC代码分析

在Openstack中,RPC调用是通过RabbitMQ进行的. 任何一个RPC调用,都有Client/Server两部分,分别在rpcapi.py和manager.py中实现. 这里以nova-scheduler调用nova-compute为例子. nova/compute/rpcapi.py中有ComputeAPI nova/compute/manager.py中有ComputeManager 两个类有名字相同的方法,nova-scheduler调用ComputeAPI中的方法,通过底层的R

Linux中Iptable防火墙规则的应用

在没有硬件防火墙的前提下,Linux系统也提供了很完善的防火墙策略Iptable,同样能胜任防火墙的策略,但由于规则负责的原因很少被使用.我总结一下iptable的使用方法. 通常防火墙策略配置文件所在的路径为/etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Wed Apr  8 13:50:49 2015 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT

Linux中的防火墙----iptables

防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网络层防火墙主要是根据网络层.传输层的封包的属性来制定防火墙的规则,主要依据是源IP和目的IP地址,源端口和目的端口 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延. 数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统.基于主动防御机制,实现数据库

在OpenStack中绕过或停用security group (iptables)

眼下.OpenStack中默认採用了security group的方式.用系统的iptables来过滤进入vm的流量.这个本意是为了安全,可是往往给调试和开发带来一些困扰. 因此,暂时性的禁用它能够排除由于iptables规则错误问题带来的网络不通等情况. 在H版本号中,能够通过改动neutron plugin.ini中的firewall配置来禁用security group. 但在I版本号中.类似的操作仅仅会让vm出来的流量都无法通过安全网桥. 因此,在正常配置启用security group

探索 OpenStack 之(14):OpenStack 中 RabbitMQ 使用研究 (上半部分)

本文是 OpenStack 中的 RabbitMQ 使用研究 两部分中的第一部分,将介绍 RabbitMQ 的基本概念,即 RabbitMQ 是什么.第二部分将介绍其在 OpenStack 中的使用. 1 RabbitMQ 的基本概念 RabbitMQ 是实现了高级消息队列协议(AMQP)的开源消息代理软件(亦称面向消息的中间件). AMQP是一个定义了在应用或者组织之间传送消息的协议的开放标准 (an open standard for passing business messages be

OpenStack 网络总结之:openstack中网络的基本概念

原文:openstack-install-guide-yum-icehouse.pdf/7. Add a networking service/Networking concepts OpenStack的Neutron可以管理OpenStack环境中的虚拟 网络基础设施(VNI),和物理网络基础设施(PNI). OpenStack的Neutron允许租户创建虚拟网络拓扑结构,包含的服务例如防火墙,负载均衡和虚拟专用网络(VPN)等等. Neutron提供了对以下对象的抽象:网络,子网和路由器.

防火墙iptables分析

防火墙iptables分析 一.iptables 基本概念 匹配(match):符合指定的条件,比如指定的 IP 地址和端口. 丢弃(drop):当一个包到达时,简单地丢弃,不做其它任何处理. 接受(accept):和丢弃相反,接受这个包,让这个包通过. 拒绝(reject):和丢弃相似,但它还会向发送这个包的源主机发送错误消息.这个错误消息可以指定,也可以自动产生. 目标(target):指定的动作,说明如何处理一个包,比如:丢弃,接受,或拒绝. 跳转(jump):和目标类似,不过它指定的不是

讲清楚说明白openstack中vm流量走向之1——集中式网络节点

一.背景介绍 openstack被广大公有云厂商所采用,对于公有云场景来讲Newtron组件所提供的网络功能,一直是较难理解的部分,本文详细介绍在openstack集中网络节点架构下,vm的南北向与东西向流量实现. 二.网络节点功能 由于openstack默认部署模式下,计算节点通过ml2插件实现二层互通,所有三层流量都要经过网络节点,如下图所示: 图中同一tenant下有2个不同子网,vm1/2和vm3/4分别属于不同的subnet,通过上图可以看出不同子网之间通信,以及未绑定fip的vm与公

CentOS7中firewall防火墙详解和配置

官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1 cd /usr/lib/firewalld/services 目录中存放定义好的网络服务和端口参数,系统参数,不能修改. cd /etc/firewalld/services/ syst