学习openstack有感

学习nuetron的十个问题

一、Br-tun的转发规则表里怎么区分从内部或者从外部来的包

二、DHCP服务做了什么

全名为动态主机配置协议，主要作用是给主机分配ip、子网掩码、网关以及DNS，一般来说不能跨网段
好处：减少管理员出错的可能
坏处：DHCP欺骗攻击

分配方式：自动分配、动态分配、手工分配
自动分配：DHCP服务器永久性分配一个IP地址
动态分配：DHCP服务器分配一个具有时间限制的IP地址
手工分配：管理员指定客户的IP地址，DHCP服务器只负责分发IP地址

客户端向DHCP服务器发租约IP地址并成功有四个过程：
①、向当前网段中发送DHCP discover广播请求，搜索DHCP服务器，这个过程称为租约请求；
②、服务器接收请求，响应客户端，这个过程称为租约响应；
③、客户端告诉DHCP服务器，我要从你这里获取IP，DHCP request这个过程称为租约选择；
④、服务器向客户端提供服务，这个过程称为租约确认。

DHCP欺骗攻击：
攻击者伪造大量的IP请求包，来消耗掉DHCP服务器的IP资源，这时攻击者可以伪造一个DHCP服务器给计算机分配IP，并指定一个虚假的DNS服务器地址。

三、安全组做了什么

security group通过linux iptables来实现，，为此，在Compute 节点上引入了qbr*这样的Linux传统bridge（iptables规则目前无法加载到直接挂在到ovs的tap设备上）

openstack网络使用iptables、表、规则、链
规则表：
1）filter表——三个链：INPUT、FORWARD、OUTPUT
作用：过滤数据包内核模块：iptables_filter.
2）Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
作用：用于网络地址转换（IP、端口）内核模块：iptable_nat
3）Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
4）Raw表——两个链：OUTPUT、PREROUTING
作用：决定数据包是否被状态跟踪机制处理内核模块：iptable_raw

规则链：
1）INPUT——进来的数据包应用此规则链中的策略
2）OUTPUT——外出的数据包应用此规则链中的策略
3）FORWARD——转发数据包时应用此规则链中的策略
4）PREROUTING——对数据包作路由选择前应用此链中的规则
（记住！所有的数据包进来的时侯都先由这个链处理）
5）POSTROUTING——对数据包作路由选择后应用此链中的规则
（所有的数据包出来的时侯都先由这个链处理）

iptables的规则结构：
首先，iptables有四种状态：NEW,ESTABLISHED,RELATED,INVALID
NEW状态：主机连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED状态：主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态。
RELATED状态：主机已与目标主机进行通信，目标主机发起新的链接方式，例如ftp
INVALID状态：无效的封包，例如数据破损的封包状态

106K 8294K ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
这条语句的含义是：接受所有state匹配RELATED,ESTABLISHED的包，只接受自己发出去的响应包 0 0 REJECT all
– 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 这条语句的含义是：其他主机不满足RELATED的情况，会给它返回host-prohibited
结论：下面两条规则必须连用(filter表INPUT链规则是ACCEPT的时候），其他主机ping包过来的时候直接拒绝，并且返回给它host-prohibited信息。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
那么下面还需要说明一点的是，当filter表INPUT链默认规则是DROP的时候，命中iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited该规则，依旧会返回host-prohibited信息。没有命中规则的，不会返回任何信息，直接被drop掉

iptables传输数据包的过程：

iptables链规则的参数：

动作	说明
REJECT	拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
ACCEPT	将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则链
DROP	丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
REDIRECT	将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续比对其它规则。这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。
RETURN	结束在目前规则炼中的过滤程序，返回主规则炼继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。
MARK	将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。
QUEUE	中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用……等。
DNAT	改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则炼（filter:input 或 filter:forward）。
SNAT	改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。

快速查找安全组规则：
记住某个vm的安全组相关规则的chain的名字，跟vm的id的前9个字符有关。