+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

pve-firewall с включённым nftables: ожидаются изменения, Proxmox Виртуальная Среда

Monero101

Guest

07.03.2025 15:11:00

У меня проблема с pve-firewall: появляется статус "ожидаются изменения", как только я включаю nftables на уровне хоста.
Код: pve-firewall status
Статус: включён/работает (ожидаются изменения)
Перезапуск pve-firewall не помогает.
Удаление всех правил firewall для VNet тоже не помогает.

Linux x3 6.8.12-4-pve #1 SMP PREEMPT_DYNAMIC PMX 6.8.12-4 (2024-11-06T15:04Z) x86_64 GNU/Linux
Код: nft --version
nftables v1.0.6 (Lester Gooch #5)
Код: systemctl status pve-firewall proxmox-firewall

● pve-firewall.service - Proxmox VE firewall
Loaded: загружен (/lib/systemd/system/pve-firewall.service; включён; preset: включён)
Active: активен (работает) с Пт 2025-03-07 14:59:04 CET; 8 мин назад
Process: 1433741 ExecStartPre=/usr/bin/update-alternatives --set ebtables /usr/sbin/ebtables-legacy (код=вышел, статус=0/УСПЕХ)
Process: 1433743 ExecStartPre=/usr/bin/update-alternatives --set iptables /usr/sbin/iptables-legacy (код=вышел, статус=0/УСПЕХ)
Process: 1433744 ExecStartPre=/usr/bin/update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy (код=вышел, статус=0/УСПЕХ)
Process: 1433745 ExecStart=/usr/sbin/pve-firewall start (код=вышел, статус=0/УСПЕХ)
Main PID: 1433748 (pve-firewall)
Tasks: 1 (лимит: 76816)
Memory: 98.5M
CPU: 10.872с
CGroup: /system.slice/pve-firewall.service
└─1433748 pve-firewall

Mar 07 14:59:03 chant3 systemd[1]: Запуск службы pve-firewall.service - Proxmox VE firewall...
Mar 07 14:59:04 chant3 pve-firewall[1433748]: запуск сервера
Mar 07 14:59:04 chant3 systemd[1]: Служба pve-firewall.service - Proxmox VE firewall запущена.

● proxmox-firewall.service - Proxmox nftables firewall
Loaded: загружен (/lib/systemd/system/proxmox-firewall.service; включён; preset: включён)
Active: активен (работает) с Пт 2025-03-07 14:59:06 CET; 8 мин назад
Main PID: 1433808 (proxmox-firewal)
Tasks: 1 (лимит: 76816)
Memory: 944.0K
CPU: 3.315с
CGroup: /system.slice/proxmox-firewall.service
└─1433808 /usr/libexec/proxmox/proxmox-firewall

Mar 07 14:59:06 chant3 systemd[1]: Служба proxmox-firewall.service - Proxmox nftables firewall запущена.

itNGO Guest	#2 0 22.03.2025 07:08:00 У меня то же самое на 3 узлах с версией 8.3.5. Даже после свежей перезагрузки. Код: pve-firewall status Статус: включен/запущен (есть ожидающие изменения)

Pony2835 Guest	#3 0 27.05.2025 11:43:00 Такая же проблема с pve-manager/8.4.1/2a5fa54a8503f96d (ядро: 6.8.12-11-pve) на уровне Datacenter. Порт 8006 с vmbr0 не блокируется. ОБНОВЛЕНИЕ: если отключить nft, всё работает.

shanreich

Guest

27.05.2025 12:00:00

Если вы запускаете pve-firewall status, он генерирует iptables-правила, необходимые для текущей конфигурации, и сравнивает их с текущим состоянием iptables (ip6tables и так далее). Поскольку они не совпадают, выводится этот статус. pve-firewall — это демоновая служба для старого Perl-фаервола и, соответственно, на самом деле не может использоваться с новым фаерволом, который работает как демона proxmox-firewall. Так что это не значит, что фаервол не работает. Я начал работу над реализацией таких же подкоманд для proxmox-firewall [1] — логично добавить здесь специальную обработку для pve-firewall и либо проксировать их на новый демон, либо хотя бы выводить другой статус. Я займусь этим.
[1] https://lore.proxmox.com/all/20250414154455.274151-1-s.hanreich@proxmox.com/

shanreich

Guest

27.05.2025 12:01:00

Извини, не заметил твоё исправление, когда писал сообщение — можешь прислать вывод команды systemctl status proxmox-firewall? Также, какой результат выдаёт ip a? Попробую воспроизвести проблему, не должно быть слишком сложно.

Monero101 Guest	#6 0 27.05.2025 12:07:00 Проблема, возможно, была связана со старыми VMnet или мостами. Я их убрал, и это решило проблему. Похоже, где-то на них ссылались.

itNGO Guest	#7 0 27.05.2025 12:20:00 Как их обнаружить?

Pony2835

Guest

27.05.2025 12:52:00

Вот, держи. Хочу добавить, если включить nft и посмотреть список nft (nft list ruleset), то увидишь, что у 8006,22 есть правило с переходом к другому правилу, и это правило-переход принимается, так как оно находится последовательно в начале пользовательских правил. Не уверен, в этом ли проблема (если nft работает как любой другой файрвол, то есть следует последовательности — возможно, в этом и есть проблема).

shanreich

Guest

27.05.2025 12:59:00

Похоже, с вашим набором правил проблем не было. Мне кажется, причина, по которой ваше правило drop не сработало, в том, что файрвол создает стандартный набор правил (для предотвращения блокировки доступа), который пропускает трафик на портах 22 и 8006 [1]. Это основано на management IPSet, так что если вы хотите переопределить стандартный IP управления (то есть тот IP, на который резолвится hostname узла PVE — он же IP в файле hosts), вы можете создать свой собственный management IPset [2], в котором будет указан ваш IP vmbr1.10.
[1] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pve_firewall_default_rules
[2] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_enabling_the_firewall

Pony2835 Guest	#10 0 27.05.2025 13:03:00 Да, я только что отредактировал последний пост. Однако функция anti-lock, похоже, действует только на nft, а не на iptables.

shanreich Guest	#11 0 27.05.2025 13:03:00 Какой вывод команды pve-firewall localnet? Можешь ещё скинуть вывод команды nft list ruleset?

Pony2835 Guest	#12 0 27.05.2025 13:06:00 Ты хочешь с включёнными NFT или без них?

shanreich Guest	#13 0 27.05.2025 13:07:00 Первая команда не должна иметь значения, вторая команда с включённым nft, пожалуйста.

Pony2835 Guest	#14 0 27.05.2025 13:16:00 Локально: Правила набора:

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры