Dedikovaná síť pro LXC kontejnery a řízení komunikace (TOS 5.1)

Chtěl bych vytvořit síť pro LXC kontejnery s možností řídit síťovou komunikaci. Mám částečný úspěch, ale nedaří se mi to dotáhnout. Přidal jsem interface a firewall “zónu”

config interface 'srv'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '172.16.1.254'
        option ifname 'lan0.11'

config zone
        option network 'srv'
        option name 'srv'
        option output 'DROP'
        option forward 'DROP'
        option input 'DROP'

Vytvořil jsem dva kontejnery C1 a C2 se statickými IP adresami 172.16.1.1 a 172.16.1.2 připojené do br-srv

Část která mi funguje

  • Komunikace LAN => SRV je blokovaná a je možné ji explicitně povolit pomocí firewall rule např.

    config rule
              option name 'any@lan[any] => C1@srv[https]'
              option target 'ACCEPT'
              list proto 'tcp'
              option family 'ipv4'
              option src 'lan'
              option dest 'srv'
              option dest_port '443'
              list dest_ip '172.16.1.1'
    
  • Komunikace SRV => WAN je blokovaná a je možné ji explicitně povolit pomocí firewall rule např.

    config rule
              option name 'C1@srv[any] => any@wan[https]'
              option target 'ACCEPT'
              list proto 'tcp'
              option family 'ipv4'
              option src 'srv'
              list src_ip '172.16.1.1'
              option dest 'wan'
              option dest_port '443'
    

Část která mi nefunguje

  • Komunikace SRV => LAN je povolená a nepřišel jsem na způsob jak ji zablokovat/řídit
  • Komunikace C1 <=> C2 je povolená a nepřišel jsem na způsob jak ji zablokovat/řídit na úrovni host firewallu (ne pomocí firewallu uvnitř kontajneru)