使用ct_state 实现出口放行防火墙

openflow 本身没有定义连接状态,需要控制器做sdn 防火墙。但ovs 的实现中支持了conn track,可以利用Linux 的nf_conntrack(类似iptables)。

出口方向放行

第一条flow 是先用ct_state=-trk 匹配出所有的包,action=ct(table=0) 加上trk 再回到table 0继续处理。

第二条flow 匹配所有带有trk 标记且源地址为a.b.c.d(用于标示本地虚拟机)的”new”包,例如icmp ping,tcp 的主动握手包等,通过ct(commit) 创建nf_conntrack 项,并放行(normal)。

第三条flow 匹配所有已经被追踪并建立链接的包(无状态协议icmp,udp 等也可以正常被nf_conntrack 追踪),均放行。

1
2
3
# ovs-ofctl add-flow "cookie=0x100,icmp,ct_state=-trk,actions=ct(table=0)"
# ovs-ofctl add-flow "cookie=0x100,icmp,ct_state=+trk+new,nw_src=a.b.c.d actions=ct(commit),normal"
# ovs-ofctl add-flow "cookie=0x100,icmp,ct_state=+trk+est actions=normal"

入口方向放行

配置入口方向放行时第一条flow 已经做了对所有包添加trk,和放行+trk+est,因此入口放行只需要允许+trk+new,同样通过ct(commit) 建立nf_conntrack 项并normal 放行即可。nw_src 用于指定希望放行的对方地址,nw_dst 为本地虚拟机地址。

1
# ovs-ofctl add-flow "cookie=0x100,icmp,ct_state=+trk+new,nw_src=e.f.g.h/x,nw_dst=a.b.c.d actions=ct(commit),normal"

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

普通上班族,会一点Linux, 想学SDN