OpenVZ gebruikt een containergebaseerde virtualisatie-oplossing voor Linux, waarbij de kernel wordt gedeeld tussen verschillende containers (ook bekend als VEs of VPS’s). Hieronder volgen de stappen om firewallregels voor een OpenVZ-container te configureren.
Er zijn twee manieren om dat te doen:
1. De eerste methode is het bewerken van de iptables in de container zelf, wat de meest flexibele methode is omdat het u in wezen volledige controle geeft over de iptables van de container. Om dit te doen, moet u eerst controleren of iptables in de container is ingeschakeld door `vzctl set VEID —capability net_admin:on —save` uit te voeren, waarbij u VEID vervangt door het ID van de container. Vervolgens kunt u in de container gaan door `vzctl enter VEID` uit te voeren en iptables op de normale manier configureren.
1. De tweede methode is het gebruiken van de CONFIG_IPTABLES optie in /etc/vz/vz.conf, wat u toestaat om iptables-regels op hostniveau toe te passen op specifieke containers. De optie CONFIG_IPTABLES moet eerst worden ingeschakeld door de volgende regel toe te voegen of te wijzigen in /etc/vz/vz.conf: `CONFIG_IPTABLES=“ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length”`. U kunt dan specifieke iptables-regels instellen voor containers met het `vzctl set VEID —iptables RULES —save` commando, waarbij u VEID vervangt door het ID van de container en RULES vervangt door de specifieke iptables-regels die u wilt instellen.
Let op: Hoewel OpenVZ containers een zekere mate van isolatie bieden, delen zij nog steeds de kernel en een aantal andere systeembronnen met de host en andere containers. Dit betekent dat zelfs als u de iptables binnen een container configureert, u nog steeds voorzichtig moet zijn om de veiligheid van de host en andere containers te waarborgen.
