Linux教程網 >> Linux基礎 >> Linux技術 >> 防止Xen VPS用戶自己修改IP地址的方法

防止Xen VPS用戶自己修改IP地址的方法

日期：2017/3/1 17:50:55 编辑：Linux技術

作為 Xen VPS 服務商，我們分配獨立的 ip 地址給 VPS，我們不希望 VPS 用戶自己能隨便修改 IP 地址，因為這樣有可能和其他用戶的 IP 地址造成沖突，而且造成管理上的不便，所以需要綁定 IP 給某個 VPS.

解決這個問題的辦法有很多，從路由器、防火牆、操作系統、Xen 等層面都可以做限制。這裡介紹的兩個簡單方法都是從 dom0 入手：一個是在 dom0 上利用 Xen 配置；一個是在 dom0 上利用 iptables.

利用 Xen 配置

Xen 上有個 antispoof 配置選項就是來解決這個問題的，不過默認配置沒有打開這個 antispoof 選項，需要修改：

復制代碼代碼如下:
# vi /etc/xen/xend-config.sxp
...
(network-script 'network-bridge antispoof=yes')
...

修改 /etc/xen/scripts/vif-common.sh 裡面的 frob_iptable() 函數部分，加上 iptables 一行：

復制代碼代碼如下:
# vi /etc/xen/scripts/vif-common.sh
function frob_iptable()
{
...
iptables -t raw "$c" PREROUTING -m physdev --physdev-in "$vif" "$@" -j NOTRACK
}

修改完 Xen 配置後還需要修改 domU 的配置，給每個 domU 分配固定 IP 和 MAC 地址，還有 vif 名字：

復制代碼代碼如下:
# vi /etc/xen/vm01
...
vif = [ "vifname=vm01,mac=00:16:3e:7c:1f:6e,ip=172.16.39.105,bridge=xenbr0" ]
...

很多系統上 iptables 在默認情況下都不會理會網橋上的 FORWARD 鏈，所以需要修改內核參數確保 bridge-nf-call-iptables=1，把這個修改可以放到 antispoofing() 函數裡，這樣每次 Xen 配置網絡的時候會自動配置內核參數：

復制代碼代碼如下:
# vi /etc/xen/scripts/network-bridge
antispoofing () {
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
...
}

修改完畢後測試的話需要關閉 domU，重啟 iptables 和 xend 服務，再啟動 domU.

復制代碼代碼如下:
# xm shutdown vm01
# /etc/init.d/iptables restart
# /etc/init.d/xend restart
# xm create vm01

上面的方法在 Xen 3.x 上測試有效，有人說在 Xen 4.x 上行不通，我們下面將要介紹的方法繞開了 Xen 配置，直接從 iptables 限制，在 Xen 3.x 和 Xen 4.x 上應該都可以用。

利用 iptables

首先在 dom0 上確定 iptables 已經開啟，這裡需要注意的是一定要在每個 domU 的配置文件中的 vif 部分加上 vifname, ip, mac，這樣才能在 iptables 規則裡面明確定義：

復制代碼代碼如下:
# /etc/init.d/iptables restart # vi /etc/xen/vm01
...
vif = [ "vifname=vm01,mac=00:16:3e:7c:1f:6e,ip=172.16.39.105,bridge=xenbr0" ]
... # vi /etc/iptables-rules
*filter
:INPUT accept [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# The antispoofing rules for domUs
-A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-out vm01 -j ACCEPT
-A FORWARD -p udp -m physdev --physdev-in vm01 -m udp --sport 68 --dport 67 -j ACCEPT
-A FORWARD -s 172.16.39.105/32 -m physdev --physdev-in vm01 -j ACCEPT
-A FORWARD -d 172.16.39.105/32 -m physdev --physdev-out vm01 -j ACCEPT
# If the IP address is not allowed on that vif, log and drop it.
-A FORWARD -m limit --limit 15/min -j LOG --log-prefix "Dropped by firewall: " --log-level 7
-A FORWARD -j DROP
# The access rules for dom0
-A INPUT -j ACCEPT
COMMIT # iptables-restore < /etc/iptables.rules

當然，別忘了：

復制代碼代碼如下:
# echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables