Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    Фильтр ARP

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Фильтр ARP, Proxmox Виртуальная Среда
     
    BelCloud
    Guest
    #1
    0
    31.05.2017 09:05:00
    Здравствуйте! Есть ли способ отфильтровать ARP-ответы? Например: 09:45:12.141931 ARP, Reply xx.xx.xx.xxis-at b2:cb:9f:21:38:a8, length 46. Сегодня у меня был клиент, который пытался использовать IP другого пользователя. Файрвол блокировал tcp/udp и т.д., но он всё равно умудрялся отвечать на ARP-запросы, из-за чего IP другого клиента становился недоступен. Спасибо!
     
     
     
    spirit
    Guest
    #2
    0
    22.03.2019 00:29:00
    @BelCloud Привет, фильтрация ARP была реализована https://git.proxmox.com/?p=pve-firewall.git;a=commit;h=401c141b36315dbbfaf88b293a44654a8610793b
     
     
     
    BelCloud
    Guest
    #3
    0
    22.03.2019 18:59:00
    Это отличные новости! Он уже опубликован в тестовом репозитории?
     
     
     
    spirit
    Guest
    #4
    0
    22.03.2019 19:31:00
    Пока нет.
     
     
     
    mailinglists
    Guest
    #5
    0
    02.10.2020 15:53:00
    Я собираюсь запустить PM6 в продакшен и хотел бы разобраться с этой проблемой до этого. Есть ли сейчас сборки, в которых уже есть эта функция?
     
     
     
    spirit
    Guest
    #6
    0
    03.10.2020 07:39:00
    Фильтрация ARP включена по умолчанию с прошлого года, нужно только активировать ebtables на уровне дата-центра. Для CT IP-адрес берётся из заданных IP для виртуальной машины, нужно определить IP в ipset «ipfilter-netX».
     
     
     
    mailinglists
    Guest
    #7
    0
    07.10.2020 13:05:00
    Ага, спасибо за ответ, дружище. Значит, мне просто нужно убрать все правила фаервола, поставить галочку на ip filter и добавить новый ipset с названием ipfilter-netX, где X — это ID сети из раздела hardware? Круто, попробую.
     
     
     
    spirit
    Guest
    #8
    0
    07.10.2020 13:42:00
    Да, именно так!
     
     
     
    mailinglists
    Guest
    #9
    0
    07.10.2020 14:12:00
    Ну, я сделал то, что ты предложил, но это не сработало. Только что проверил правила iptables на хосте и нашел такую запись: -A tap100i0-OUT -m set ! --match-set PVEFW-100-ipfilter-net0-v4 src -j DROP. Значит, ipset называется PVEFW-$VMID-ipfilter-net$NEITD-v4, а не ipfilter-netX. Сейчас попробую создать ipset с таким именем для теста и потом отчитаюсь. Хотелось бы, чтобы существовали более нормальные инструкции, типа пошаговой от уровня дата-центра до самой виртуальной машины, чтобы можно было закрепить VM за конкретными IP(сетями).
     
     
     
    spirit
    Guest
    #10
    0
    07.10.2020 17:51:00
    На самом деле это ipfilter-netX (в конфигурационном файле) https://pve.proxmox.com/pve-docs/chapter-pve-firewall.html#pve_firewall_ipfilter_section В iptables он создаёт ipset с суффиксом "..-v4" для правил ipv4 iptables и "..-v6" для правил ipv6 ip6tables. (В конфигурации можно просто указать и ipv4, и ipv6 в одном ipfilter-netX, Proxmox автоматически их разделит)
     
     
     
    mailinglists
    Guest
    #11
    0
    07.10.2020 17:55:00
    Ты прав. Это не сработало из-за конструкции системы. У меня стоит политика DROP по умолчанию, и когда она активна, ipfilter работает некорректно. Я решил использовать свои правила файрвола, которые блокируют трафик в обе стороны (ipfilter же фильтрует только исходящий, полагаясь на фильтр по MAC), а также применил фильтр по MAC. Теперь всё работает, и ответы ARP должны фильтроваться так:

    Code: ebtables>
    -A tap100i0-OUT -s ! d2:42:b5:57:35:3f -j DROP
    -A tap100i0-OUT -j ACCEPT

    iptables>
    -A tap100i0-OUT -m mac ! --mac-source D2:42:B5:57:35:3F -j DROP
     
     
     
    spirit
    Guest
    #12
    0
    08.10.2020 08:10:00
    >> не сработало из-за того, как это устроено. У меня стоит политика DROP по умолчанию, и при такой настройке ipfilter работает некорректно. Что ты имеешь в виду под «как это устроено»? Вот пример ВМ, запущенной на моём кластере, с конфигурацией по умолчанию, которая отклоняет трафик.  

    Код: [OPTIONS]

    dhcp: 0  
    log_level_out: info  
    enable: 1  
    macfilter: 1  
    log_level_in: info  
    policy_in: REJECT  
    policy_out: REJECT  

    [IPSET ipfilter-net0]
    192.168.0.1  

    ebtables  
    Код:  
    -A PVEFW-FWBR-OUT -i tap982i1 -j tap982i1-OUT  
    -A tap982i1-OUT -s ! 46:e1:dd:b5:1a:5c -j DROP  
    -A tap982i1-OUT -p ARP -j tap982i1-OUT-ARP  
    -A tap982i1-OUT -j ACCEPT  
    -A tap982i1-OUT-ARP -p ARP --arp-ip-src 192.168.0.1 -j RETURN  
    -A tap982i1-OUT-ARP -j DROP  

    iptables  
    Код:  
    -A tap982i1-OUT -m mac ! --mac-source 46:E1:DD:B5:1A:5C -j DROP
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры