security groupが機能しません

[bbrfkr]

はじめまして。斎藤と申します。

OpenStack Juno環境を勉強のために構築しましたが、

security groupがうまく機能せずに困っています。

具体的にはセキュリティグループdefaultにicmpおよびsshの通信を許可していないにもかかわらず

defaultを適用したインスタンスにpingが通ってしまい、sshにてログインできてしまうという問題が起きています。

他のopenstackの機能に関しては正常に機能しており、security groupのみが機能していないように思われます。

OpenStack環境は公式ホームページのinstallation guideにのっとり、

nova-networkではなく、neutronネットワークにて作成しています。

コンピュートノードのiptables -Sの出力は以下のようになっています。

-P INPUT ACCEPT

-P FORWARD ACCEPT

-P OUTPUT ACCEPT

-N neutron-filter-top

-N neutron-openvswi-FORWARD

-N neutron-openvswi-INPUT

-N neutron-openvswi-OUTPUT

-N neutron-openvswi-i09c1f9a4-8

-N neutron-openvswi-local

-N neutron-openvswi-o09c1f9a4-8

-N neutron-openvswi-s09c1f9a4-8

-N neutron-openvswi-sg-chain

-N neutron-openvswi-sg-fallback

-A INPUT -j neutron-openvswi-INPUT

-A FORWARD -j neutron-filter-top

-A FORWARD -j neutron-openvswi-FORWARD

-A OUTPUT -j neutron-filter-top

-A OUTPUT -j neutron-openvswi-OUTPUT

-A neutron-filter-top -j neutron-openvswi-local

-A neutron-openvswi-FORWARD -m physdev --physdev-out tap09c1f9a4-81 --physdev-is-bridged -j neutron-openvswi-sg-chain

-A neutron-openvswi-FORWARD -m physdev --physdev-in tap09c1f9a4-81 --physdev-is-bridged -j neutron-openvswi-sg-chain

-A neutron-openvswi-INPUT -m physdev --physdev-in tap09c1f9a4-81 --physdev-is-bridged -j neutron-openvswi-o09c1f9a4-8

-A neutron-openvswi-i09c1f9a4-8 -m state --state INVALID -j DROP

-A neutron-openvswi-i09c1f9a4-8 -m state --state RELATED,ESTABLISHED -j RETURN

-A neutron-openvswi-i09c1f9a4-8 -s 10.0.0.31/32 -p udp -m udp --sport 67 --dport 68 -j RETURN

-A neutron-openvswi-i09c1f9a4-8 -p icmp -j RETURN

-A neutron-openvswi-i09c1f9a4-8 -j neutron-openvswi-sg-fallback

-A neutron-openvswi-o09c1f9a4-8 -p udp -m udp --sport 68 --dport 67 -j RETURN

-A neutron-openvswi-o09c1f9a4-8 -j neutron-openvswi-s09c1f9a4-8

-A neutron-openvswi-o09c1f9a4-8 -p udp -m udp --sport 67 --dport 68 -j DROP

-A neutron-openvswi-o09c1f9a4-8 -m state --state INVALID -j DROP

-A neutron-openvswi-o09c1f9a4-8 -m state --state RELATED,ESTABLISHED -j RETURN

-A neutron-openvswi-o09c1f9a4-8 -j RETURN

-A neutron-openvswi-o09c1f9a4-8 -j neutron-openvswi-sg-fallback

-A neutron-openvswi-s09c1f9a4-8 -s 10.0.0.30/32 -m mac --mac-source FA:16:3E:FF:43:CA -j RETURN

-A neutron-openvswi-s09c1f9a4-8 -j DROP

-A neutron-openvswi-sg-chain -m physdev --physdev-out tap09c1f9a4-81 --physdev-is-bridged -j neutron-openvswi-i09c1f9a4-8

-A neutron-openvswi-sg-chain -m physdev --physdev-in tap09c1f9a4-81 --physdev-is-bridged -j neutron-openvswi-o09c1f9a4-8

-A neutron-openvswi-sg-chain -j ACCEPT

-A neutron-openvswi-sg-fallback -j DROP

もし、解決策をご存知の方がいらっしゃいましたら、ご教示願えないでしょうか。

以上です。よろしくお願いいたします。

[bbrfkr]

斎藤です。

すみません、OSはCentOS7です。

また、firewalldは全ノード無効化しています。

以上です。

[Akihiro Motoki]

iptables ルールを見る限りは ICMP が IPSA Any で許可されているように見えます。
ICMP は default security-group-rule から削除されていますでしょうか？

2016年3月23日 18:02 bbrfkr <1boogie.5s...@gmail.com>:

> --
> このメールは Google グループのグループ「日本OpenStackユーザ会」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openstack-ja...@googlegroups.com
> にメールを送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。

[bbrfkr]

斎藤です。

amotoki さん。早速のお返事ありがとうございます。

セキュリティグループdefaultのルールは添付ファイルの通りです。

受信ルールに関してはdefaultに対するルールがありますが、

OpenStack環境外からの通信も現状通してしまいます。

以上です。

2016年3月23日水曜日 19時04分51秒 UTC+9 amotoki:

[Tomoaki Nakajima]

斉藤さん

設定の漏れなのか、バグなのか、はたまた準備された環境に前提のミスがあるのか、

今の情報で当たりをつけるのは難しいと思います。

勉強のため、ということですので、簡単な方法で一度ちゃんと動く環境を動かすのがおすすめです。

例えば、 RDOのPackstack など、ワンタッチインストーラーを使った最小環境を作って、

そちらから発展させていく方法があります。

一度成功体験を持っておけば、環境を大きくした時に上手く行かなくても、

最小環境とこの部分が違うからこの辺りがおかしいのでは？というあたりも付けやすくなります。

中島

[bbrfkr]

斎藤です。

irix_jpさん、コメントありがとうございます。

一度、packstackを利用して環境を構築してみたいと思います。

そこから差分にて問題を見つけられればいいですが。。。

以上です。ありがとうございます。

2016年3月23日水曜日 20時03分40秒 UTC+9 irix_jp: