нет, но ребятам из ЯД нравится - а вот яблоко от опс отказалось давно =)

OpS - просто мечта! Чего же Яблоко от него отказалось??? загадка, блять

Да ? Где Яблоко ?😀

а яблоко это кто?

нет, но ребятам из ЯД нравится - а вот яблоко от опс отказалось давно =)

Ты пытаешься донести мысль что это должно насторожить или заставить задуматься?)

а яблоко это кто?

ЦК партии Яблоко, не иначе)

а яблоко это кто?

яндекс облако

потому что они не умеют его готовить =)

Ты пытаешься донести мысль что это должно насторожить или заставить задуматься?)

задуматься - что опс не такой и хороший, как его пытаются малевать =) и строить на нем что-то большое, чем приватное (в статье - внутреннее) облако - сомнительный путь =)

а ростелеком то с майлом не знают =)

а ростелеком то с майлом не знают =)

ага, и штаты разработки и эксплуатации -)

ага, и штаты разработки и эксплуатации -)

ну есть пару колек да =)

задуматься - что опс не такой и хороший, как его пытаются малевать =) и строить на нем что-то большое, чем приватное (в статье - внутреннее) облако - сомнительный путь =)

Думаю, ваще не надо на такие вещи смотреть кто от чего отказался) Половина знаменитостей всяких нонче строгие веганы и пьют воду в которой якобы растворен водород) Ну и чего ж)

Думаю, ваще не надо на такие вещи смотреть кто от чего отказался) Половина знаменитостей всяких нонче строгие веганы и пьют воду в которой якобы растворен водород) Ну и чего ж)

окисленный водород -))

окисленный водород -))

Нене, ты чо) Там типа газообразный водород растворяют)

То есть, опенстек то сложный и не сказать что приятный, но если здраво отнестись к нему и не ждать что он превратится в серебряный дилдо^W пулю, то и унывать не будешь и мож станет получаться)

В крупных конторах наоборот сложнее ж чо-то внедрить или удержать)

задуматься - что опс не такой и хороший, как его пытаются малевать =) и строить на нем что-то большое, чем приватное (в статье - внутреннее) облако - сомнительный путь =)

Цель норм, главное дорога ;)

Коллеги, а ни у кого не было кейсов сделать вм в опенстек dhcp сервером ?

и пулять его еще через влан наружу.....

Коллеги, а ни у кого не было кейсов сделать вм в опенстек dhcp сервером ?

Предстоит так делать. Ты как-то прозаично все описал)

Это не вм dhcp сервер)

Это NFV ёпты!

нет суука...это вм которую мы пока кастылем лечим...но это не юзабильно ниразу

нет суука...это вм которую мы пока кастылем лечим...но это не юзабильно ниразу

А в чем беда то?

по дефолту DHCP спуф...и он выходит за рамки сек групп

т.е. нельзя просто пойти и накликать праваил

по дефолту DHCP спуф...и он выходит за рамки сек групп

портсекурити/аллоуд аддреспэйрз?

т.е. нельзя просто пойти и накликать праваил

А разрешённые пары ты покрутил?

не работает

работает вроде

А тупо на порту секьюирити отключить?

вот четко сутьь проблемы https://codesomniac.com/2017/07/how-to-run-a-dhcp-server-as-openstack-instance/

описана не мной но смысл тот же

как то сложно, вроде получалось без таких прыжков

как то сложно, вроде получалось без таких прыжков

Чот да)

А ваще я планирую делать через релеи, а не напрямую к виртуалкам клиентские запросы пускать.

как то сложно, вроде получалось без таких прыжков

ну вот не работает, хоть тресни... порт секурити можно вырубить, но это правиль драйвер фаервола все равно принесет

не работает

а дампил запросы, после отключения ?

где затыкается

вот прям в этом дропе и затыкается, я логирование в тейболсе включал

Пока не пойму в чем беда у тебя...

а вообще мне нравятся кейсы с использованием стека не по назначению

Пока не пойму в чем беда у тебя...

правило как это автоматом убивать, для конкретной вм, а не тупо закоментить в драйвере

а вообще мне нравятся кейсы с использованием стека не по назначению

Так это практически по назначению!

правило как это автоматом убивать, для конкретной вм, а не тупо закоментить в драйвере

Ну сделать отдельную секьюрити группу где разрешить входящий и исходящий UDP трафик с портами 67 и 68. Где оно рубиться то будет в итоге тогда?)

На свиче)

еще раз....эта группа есть, но она ровным счетом ничего не решает ибо есть вторая принесенная драйвером и она находится ниже всех этих ваших сек групп =)

правило как это автоматом убивать, для конкретной вм, а не тупо закоментить в драйвере

так а отключение порт секьюрити помогает тебе как нибудь? надо сначала убить все секьюрити группы, потом разрешенные адресные пары, потом задизейблить портсекьюрити

не помогает, писал же выши, дроп правило остается

еще раз....эта группа есть, но она ровным счетом ничего не решает ибо есть вторая принесенная драйвером и она находится ниже всех этих ваших сек групп =)

Как это? Откуда?

Как это? Откуда?

фаервол драйвер открой =)

А какой? Который чистый iptables?

This function is always called so there is no way to prevent the creation of this rule via configuration.

def _drop_dhcp_rule(self, ipv4_rules, ipv6_rules): #Note(nati) Drop dhcp packet from VM ipv4_rules += [comment_rule('-p udp -m udp --sport 67 ' '--dport 68 ' '-j DROP', comment=ic.DHCP_SPOOF)] ipv6_rules += [comment_rule('-p udp -m udp --sport 547 ' '--dport 546 ' '-j DROP', comment=ic.DHCP_SPOOF)]

А какой? Который чистый iptables?

да

def _drop_dhcp_rule(self, ipv4_rules, ipv6_rules): #Note(nati) Drop dhcp packet from VM ipv4_rules += [comment_rule('-p udp -m udp --sport 67 ' '--dport 68 ' '-j DROP', comment=ic.DHCP_SPOOF)] ipv6_rules += [comment_rule('-p udp -m udp --sport 547 ' '--dport 546 ' '-j DROP', comment=ic.DHCP_SPOOF)]

оно взывается только в def _add_rules_by_security_group(

А это не зависит от того включён или нет dhcp в приватной сети?

оно взывается только в def _add_rules_by_security_group(

при появлении любого порта оно возбуждается

и сразу хреначит дропы

пойду погляжу

пойду погляжу

А ведь да) Во гадюка какая)

В принципе, чо те сказать) Можно драйвер на полшишечки подправить и его грузить. И еще бы и спецификацию завести на это дело...

да вот я тоже смотрю про шышечки, вот ток думаю с какой стороны

[root@compute1 ~ # iptables-save | grep 34b42483 | grep 68 -A neutron-openvswi-i34b42483-7 -d 192.168.128.110/32 -p udp -m udp --sport 67 --dport 68 -j RETURN -A neutron-openvswi-i34b42483-7 -d 255.255.255.255/32 -p udp -m udp --sport 67 --dport 68 -j RETURN -A neutron-openvswi-o34b42483-7 -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN -A neutron-openvswi-o34b42483-7 -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN -A neutron-openvswi-o34b42483-7 -p udp -m udp --sport 67 --dport 68 -m comment --comment "Prevent DHCP Spoofing by VM." -j DROP -A neutron-openvswi-s34b42483-7 -s 192.168.128.110/32 -m mac --mac-source FA:16:3E:99:5A:1B -m comment --comment "Allow traffic from defined IP/MAC pairs." -j RETURN

Ну, канонично было бы вводить для сети в метаданные ключ типа "allow_external_dhcp" и глядя на них применять или нет дефолтные правила.

снял все security группы

удалил neutron port-update 34b42483-7599-4388-9431-3d1ecea53a6d --port_security_enabled=False

удалил neutron port-update 34b42483-7599-4388-9431-3d1ecea53a6d --port_security_enabled=False

Там даж в явном виде вон разрешается dhcp)

root@compute1 ~ # iptables-save | grep 34b42483 | grep 68 root@compute1~ #

А)

root@compute1 ~ # iptables-save | grep 34b42483 | grep 68 root@compute1~ #

Яну значит норм решение ты предлагал изначально.

доступ остался до вм =) dhcpd могу завтра поставить - сейчас уже лень

доступ остался до вм =) dhcpd могу завтра поставить - сейчас уже лень

Ды нафига) nc запусти слушать 68 порт и попробуй с клиента какую-нить дрянь отправить на сокет)

Вот и весь дхцп)

это надо nc ставить в виртуалку…

но уже стало самому интересно =)

root@compute1 ~ # iptables-save | grep 34b42483 | grep 68 root@compute1~ #

в kilo остается

Alexander Molchanov будет жить. Поприветствуем!

и порт сесурити рубится через жопуу

День добрый