Armadilloフォーラム

k-nishikiさん

マルティネです。

> > インバウンドで他の接続があればお手数ですがその時の conntrack ファイルで確認できれば幸いです。
> ケース１：アクセス元のIP（113.xxx.xxx.xxx)を許可リストに入れて、ping と http (curl -s --head "http://")を実行後に取得
> # cat /proc/net/nf_conntrack | grep 113.xxx.xxx.xxx
> ipv4 2 icmp 1 13 src=113.xxx.xxx.xxx dst=192.168.15.152 type=8 code=0 id=49097 src=192.168.15.152 dst=113.xxx.xxx.xxx type=0 code=0 id=49097 mark=0 zone=0 use=2
> ipv4 2 tcp 6 31 TIME_WAIT src=113.xxx.xxx.xxx dst=192.168.15.152 sport=62820 dport=80 src=10.88.0.4 dst=113.xxx.xxx.xxx sport=80 dport=62820 [ASSURED] mark=0 zone=0 use=2

こちらは正常ですね。

> ケース2：アクセス元のIP（113.xxx.xxx.xxx)を許可リストから除外して、pingとhttpを実行後に取得
> # cat /proc/net/nf_conntrack | grep 113.xxx.xxx.xxx
> ipv4 2 tcp 6 113 TIME_WAIT src=113.xxx.xxx.xxx dst=192.168.15.152 sport=61463 dport=80 src=10.88.0.4 dst=113.xxx.xxx.xxx sport=80 dport=61463 [ASSURED] mark=0 zone=0 use=2

icmp が許可されなくて、http が許可されてしまったんですね…
すみません、再現できたところ、一つ大事なことを忘れてました。
今回、ping/ssh と http の違いは、http はコンテナから返事していると思いますが、合ってますか。

コンテナへの通信は、INPUT ではなく、コンテナが NAT してくれてますので FORWARD のテーブルで許可を設定する必要があります。
なので、iptables -A FORWARD -j MYCHAIN でコンテナへの通信に同じ制限をするといいです。
（分かりにくいことで、コンテナからの送信は FORWARD から通らず OUTPUT になりますので、許可されたままになります）

FORWARDについてもう一つ注意です。
INPUT 同様に RELATED,ESTABLISHED を許可するルールが必要ですが、podman がすでにやってくれていて MYCHAIN の処理が NETAVARK_FORWARD の後になると問題ないですが、念のためその処理を INPUT から MYCHAIN へ持った方がいいかもしれません。

まとめると以下の変更でいいかと思います：

--- apply1.sh	2025-03-13 13:00:32.164442993 +0900
+++ apply2.sh	2025-03-13 13:01:22.820823212 +0900
@@ -15,11 +15,13 @@
 
 # Clear MYCHAIN if exist
 iptables -D INPUT -j MYCHAIN 2>/dev/null || true
+iptables -D FORWARD -j MYCHAIN 2>/dev/null || true
 iptables -F MYCHAIN 2>/dev/null || true
 iptables -X MYCHAIN 2>/dev/null || true
 
-# Change default policy for INPUT
+# Change default policy for INPUT/FORWARD
 iptables -P INPUT DROP
+iptables -P FORWARD DROP
 
 # Create new chain
 iptables -N MYCHAIN
@@ -45,13 +47,14 @@
 iptables -A MYCHAIN -s "192.168.200.0/24" -j ACCEPT
 
 # Accept from RELATED,ESTABLISHED
-iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+iptables -A MYCHAIN -m state --state RELATED,ESTABLISHED -j ACCEPT
 
 # DROP Inboud packet which is not matched with above rules
 iptables -A MYCHAIN -j DROP
 
-# Add MYCHAIN to INPUT chain
+# Add MYCHAIN to INPUT/FORWARD chains
 iptables -A INPUT -j MYCHAIN
+iptables -A FORWARD -j MYCHAIN
 
 # Save above rules to /etc/iptables/rules-save
 /etc/init.d/iptables save

よろしくお願いします

マルティネさん、
お世話になっております。

一つ気づいた点がありますのでお伝えします。
Armadillo上で実行しているHTTPサーバ(lighttpd)は、コンテナを生成して、コンテナ上で実行（add_ports 80:80 443:443）しています。
デフォルトで設定されている以下のルールが、追加したルール（MYCHAIN)より先に適用されてしまい、HTTP要求が全て許可されてしまうのではないでしょうか？
Chain NETAVARK_FORWARD (1 references)
target prot opt source destination
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT all -- anywhere 10.88.0.0/16 ctstate RELATED,ESTABLISHED
ACCEPT all -- 10.88.0.0/16 anywhere

上記が許可していないIPからのインバウント要求を通す原因とした場合に、対応方法をご教示いただけますでしょうか。