Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    pve-firewall с включённым nftables: ожидаются изменения

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    pve-firewall с включённым nftables: ожидаются изменения, Proxmox Виртуальная Среда
     
    Monero101
    Guest
    #1
    0
    07.03.2025 15:11:00
    У меня проблема с pve-firewall: появляется статус "ожидаются изменения", как только я включаю nftables на уровне хоста.  
    Код: pve-firewall status  
    Статус: включён/работает (ожидаются изменения)  
    Перезапуск pve-firewall не помогает.  
    Удаление всех правил firewall для VNet тоже не помогает.  

    Linux x3 6.8.12-4-pve #1 SMP PREEMPT_DYNAMIC PMX 6.8.12-4 (2024-11-06T15:04Z) x86_64 GNU/Linux  
    Код: nft --version  
    nftables v1.0.6 (Lester Gooch #5)  
    Код: systemctl status pve-firewall proxmox-firewall  

    ● pve-firewall.service - Proxmox VE firewall  
        Loaded: загружен (/lib/systemd/system/pve-firewall.service; включён; preset: включён)  
        Active: активен (работает) с Пт 2025-03-07 14:59:04 CET; 8 мин назад  
       Process: 1433741 ExecStartPre=/usr/bin/update-alternatives --set ebtables /usr/sbin/ebtables-legacy (код=вышел, статус=0/УСПЕХ)  
       Process: 1433743 ExecStartPre=/usr/bin/update-alternatives --set iptables /usr/sbin/iptables-legacy (код=вышел, статус=0/УСПЕХ)  
       Process: 1433744 ExecStartPre=/usr/bin/update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy (код=вышел, статус=0/УСПЕХ)  
       Process: 1433745 ExecStart=/usr/sbin/pve-firewall start (код=вышел, статус=0/УСПЕХ)  
      Main PID: 1433748 (pve-firewall)  
         Tasks: 1 (лимит: 76816)  
        Memory: 98.5M  
           CPU: 10.872с  
        CGroup: /system.slice/pve-firewall.service  
                └─1433748 pve-firewall  

    Mar 07 14:59:03 chant3 systemd[1]: Запуск службы pve-firewall.service - Proxmox VE firewall...
    Mar 07 14:59:04 chant3 pve-firewall[1433748]: запуск сервера
    Mar 07 14:59:04 chant3 systemd[1]: Служба pve-firewall.service - Proxmox VE firewall запущена.

    ● proxmox-firewall.service - Proxmox nftables firewall  
        Loaded: загружен (/lib/systemd/system/proxmox-firewall.service; включён; preset: включён)  
        Active: активен (работает) с Пт 2025-03-07 14:59:06 CET; 8 мин назад  
      Main PID: 1433808 (proxmox-firewal)  
         Tasks: 1 (лимит: 76816)  
        Memory: 944.0K  
           CPU: 3.315с  
        CGroup: /system.slice/proxmox-firewall.service  
                └─1433808 /usr/libexec/proxmox/proxmox-firewall  

    Mar 07 14:59:06 chant3 systemd[1]: Служба proxmox-firewall.service - Proxmox nftables firewall запущена.
     
     
     
    itNGO
    Guest
    #2
    0
    22.03.2025 07:08:00
    У меня то же самое на 3 узлах с версией 8.3.5. Даже после свежей перезагрузки.  
    Код: pve-firewall status  
    Статус: включен/запущен (есть ожидающие изменения)
     
     
     
    Pony2835
    Guest
    #3
    0
    27.05.2025 11:43:00
    Такая же проблема с pve-manager/8.4.1/2a5fa54a8503f96d (ядро: 6.8.12-11-pve) на уровне Datacenter. Порт 8006 с vmbr0 не блокируется. ОБНОВЛЕНИЕ: если отключить nft, всё работает.
     
     
     
    shanreich
    Guest
    #4
    0
    27.05.2025 12:00:00
    Если вы запускаете pve-firewall status, он генерирует iptables-правила, необходимые для текущей конфигурации, и сравнивает их с текущим состоянием iptables (ip6tables и так далее). Поскольку они не совпадают, выводится этот статус. pve-firewall — это демоновая служба для старого Perl-фаервола и, соответственно, на самом деле не может использоваться с новым фаерволом, который работает как демона proxmox-firewall. Так что это не значит, что фаервол не работает. Я начал работу над реализацией таких же подкоманд для proxmox-firewall [1] — логично добавить здесь специальную обработку для pve-firewall и либо проксировать их на новый демон, либо хотя бы выводить другой статус. Я займусь этим.
    [1] https://lore.proxmox.com/all/20250414154455.274151-1-s.hanreich@proxmox.com/
     
     
     
    shanreich
    Guest
    #5
    0
    27.05.2025 12:01:00
    Извини, не заметил твоё исправление, когда писал сообщение — можешь прислать вывод команды systemctl status proxmox-firewall? Также, какой результат выдаёт ip a? Попробую воспроизвести проблему, не должно быть слишком сложно.
     
     
     
    Monero101
    Guest
    #6
    0
    27.05.2025 12:07:00
    Проблема, возможно, была связана со старыми VMnet или мостами. Я их убрал, и это решило проблему. Похоже, где-то на них ссылались.
     
     
     
    itNGO
    Guest
    #7
    0
    27.05.2025 12:20:00
    Как их обнаружить?
     
     
     
    Pony2835
    Guest
    #8
    0
    27.05.2025 12:52:00
    Вот, держи. Хочу добавить, если включить nft и посмотреть список nft (nft list ruleset), то увидишь, что у 8006,22 есть правило с переходом к другому правилу, и это правило-переход принимается, так как оно находится последовательно в начале пользовательских правил. Не уверен, в этом ли проблема (если nft работает как любой другой файрвол, то есть следует последовательности — возможно, в этом и есть проблема).
     
     
     
    shanreich
    Guest
    #9
    0
    27.05.2025 12:59:00
    Похоже, с вашим набором правил проблем не было. Мне кажется, причина, по которой ваше правило drop не сработало, в том, что файрвол создает стандартный набор правил (для предотвращения блокировки доступа), который пропускает трафик на портах 22 и 8006 [1]. Это основано на management IPSet, так что если вы хотите переопределить стандартный IP управления (то есть тот IP, на который резолвится hostname узла PVE — он же IP в файле hosts), вы можете создать свой собственный management IPset [2], в котором будет указан ваш IP vmbr1.10.
    [1] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pve_firewall_default_rules  
    [2] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_enabling_the_firewall
     
     
     
    Pony2835
    Guest
    #10
    0
    27.05.2025 13:03:00
    Да, я только что отредактировал последний пост. Однако функция anti-lock, похоже, действует только на nft, а не на iptables.
     
     
     
    shanreich
    Guest
    #11
    0
    27.05.2025 13:03:00
    Какой вывод команды pve-firewall localnet? Можешь ещё скинуть вывод команды nft list ruleset?
     
     
     
    Pony2835
    Guest
    #12
    0
    27.05.2025 13:06:00
    Ты хочешь с включёнными NFT или без них?
     
     
     
    shanreich
    Guest
    #13
    0
    27.05.2025 13:07:00
    Первая команда не должна иметь значения, вторая команда с включённым nft, пожалуйста.
     
     
     
    Pony2835
    Guest
    #14
    0
    27.05.2025 13:16:00
    Локально: Правила набора:
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры