+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Межсетевой экран не работает правильно., Proxmox Виртуальная Среда

Virtualizer

Guest

01.10.2014 11:10:00

Дорогие, документация по файерволу — полное разочарование! Я провёл кучу тестов и так и не смог понять, почему всё работает неправильно! Во-первых, хост — это выделенный сервер в OVH. Он работает через IP по MAC на eth0, который подключён к vmbr0! У нас нет никаких кластеров! В конфигурации Proxmox-Datacenter только этот один хост!

a) Я включил файервол в Datacenter и на самом хосте! И сразу после этого перестала работать связь между Proxmox GUI и настройками файервола! По умолчанию при обновлениях в Datacenter стоит Input-Policy DROP. Если я меняю режим файервола на 0 напрямую в cluster.fs, то интерфейс GUI снова умеет работать с настройками! Множество других тестов тоже провалились!

b) Я добавил правило, разрешающее пинг с операционного центра на хост. В такой настройке пинг не проходит, вне зависимости от того, использую я eth0 или vmbr0, с протоколом icmp и правилом ACCEPT.

c) Хорошо, теперь я поставил в Datacenter стандартную настройку — Input-Policy ACCEPT — и создал правило, блокирующее пинг с другого компьютера снаружи на IP этого хоста. Правило включено, но пинг всё равно проходит. Пофиг, какой интерфейс — net0, eth0 или vmbr0 — пинги идут без проблем! Правила можно ставить и в Datacenter, и на хосте — результат всегда одинаковый! Да, файервол включен, iptables -L показывает настройки правил, а статус pve-firewall говорит, что всё работает без ошибок!

d) Я протестировал то же правило DROP пинга с IP из контейнера на хост, с интерфейсом eth0 или vmbr0 в настройках правила. Пинг всё равно проходит, правила не сбрасывают запросы.

В документации написано, что интерфейс net0 — это логический интерфейс, который используется только при кластерах? Может, файервол работает неправильно, когда трафик идёт через MAC?

С уважением, Detlef

Virtualizer Guest	#2 0 22.10.2014 00:17:00 Приветственное напоминание

Virtualizer Guest	#3 0 26.10.2014 14:09:00 Межсетевой экран теперь работает правильно. Документация по нему, конечно, практически отсутствует!

tempelfeld Guest	#4 0 10.11.2014 10:59:00 Привет, Virtualizer. У меня такая же проблема. Брандмауэр неправильно обрабатывает пинг. Как ты настроил брандмауэр, чтобы он работал нормально? Спасибо. С наилучшими пожеланиями.

Virtualizer

Guest

16.11.2014 22:20:00

Дорогой tempelfield, PVE-Firewall работает нормально, но только если у тебя не включён контейнер с IPv6 — иначе из-за бага фаервол просто не будет работать! Так что нужно через SSH проверить командой vzlist -a -o ctid,ip | grep ':' этот список, чтобы сверить с содержимым директории /etc/pve/firewall. Если в первом списке есть контейнер с IPv6, то файл, например, 123.fw, либо не существует, либо фаервол не будет работать! Если ты сделаешь копию, например, 123.fw в 246.fw и внутри будет IPv6, а потом перезапустишь фаервол командой pve-firewall stop pve-firewall start или service pve-firewall restart — проверь это через iptables -L -n. Если вывод всего 3-6 стандартных строк, значит PVE-Firewall не работает! В таком случае удали из /etc/pve/firewall контейнеры с IPv6 и перезапусти фаервол!

Ладно, теперь дальше:

A. Открой SSH-терминал, чтобы всегда был вариант выключить фаервол — иначе может не получиться продолжать работу и придётся делать сложные шаги! Нужно установить параметры фаервола три раза:

В Datacenter:
INPUT-Policy: ACCEPT
OUTPUT-Policy: ACCEPT
проверь, что настройки корректны — это важно!
Теперь включи фаервол!

На хосте в Smurfs-Filter и TCP-Flag-Filters: ставь YES
nf_* ставь в default
*log* — в nolog
Снова включи фаервол!

В контейнере: убедись, что в сетевых настройках нет IPv6!!!
Параметры:
INPUT-POLICY: ACCEPT
OUTPUT-POLICY: ACCEPT
остальное стандартно
проверь, что настройки верны, прежде чем включать фаервол!
Включи фаервол для контейнера!

Отлично, теперь проверим, как работает фаервол: в SSH набери iptables -L и если видишь много правил — значит, фаервол работает!

Далее заблокируем входящий IP для контейнеров или хоста:

В настройках Datacenter: Firewall — опускаемся вниз и используем IPSets.
Слева в IPSets для Datacenter нажми ADD, создай новый IPSet под названием blacklist и сохрани.
Кликни слева на созданный IPSet, перейди справа и добавь IP, который хочешь заблокировать, например, IP контейнера, хоста или другого контейнера с отдельным IP (лучше публичным).
Будь внимателен, не выбирай "nomatch"!!!

Проверь, что теперь с этого IP нельзя выполнить ping на хост или другие контейнеры! Если есть возможность, проверь это с внешнего IP. Увидишь, фаервол работает отлично! Таким образом все IP из blacklist блокируются на всех контейнерах и хосте, если фаервол включён, и теперь можно приступать к созданию собственной системы безопасности!

Чтобы посмотреть в SSH, набери iptables -L -n — увидишь много правил, а ipset list покажет IP всех ipset'ов (например, тот, что мы заблокировали в blacklist). Для подробностей используй man ipset!

Надеюсь, это поможет!
Detlef

spirit Guest	#6 0 17.11.2014 09:42:00 Да, поддержка IPv6 должна быть готова к следующему релизу Proxmox.

mstsas Guest	#7 0 05.12.2014 13:00:00 Привет, у меня небольшой вопрос: как настроить pve-firewall, чтобы он запускался при загрузке?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры