+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Конфиг-файлы в /etc/pve СЛИШКОМ БОЛЬШИЕ, Proxmox Виртуальная Среда

Virtualizer

Guest

26.10.2014 13:25:00

Привет,

Файлы конфигурации в /etc/pve не должны быть больше 130.000 байт! Это большая, очень большая проблема для черного списка брандмауэра! Мы будем блокировать данные для множества IP-адресов, которые превышают 256 кБайт. Так что мои вопросы: возможно ли добавить файл в черный список из другой директории, например, в cluster.fw?

Code: [OPTIONS]

enable: 1
policy_in: ACCEPT

[ALIASES]

// small entries

[IPSET blacklist] # gesperrte IPs

include(/root/ext_blacklist.txt)

Или как возможно изменить, чтобы файлы можно было записывать больше 130.000 байт?

С уважением,
Detlef

Virtualizer

Guest

26.10.2014 14:30:00

Но зачем это будет лучше? Только ли проблема в размере файла, что Proxmox не справляется? Функция черного списка была бы хороша, почему всем контейнерам, у которых есть включенная межсетевая экранировка, нужны черные списки, а контейнеры без межсетевой экранировки можно использовать без них? Другие вопросы поднимались раньше на других форумах: лучше ли это делать через iptables или через маршрутизацию? С iptables контейнерам требуется много numiptent, и это не очень хорошо при 500 записях или при какой-то проблеме с общим количеством правил на хосте — это может привести к зависанию хоста. С маршрутизацией такой проблемы никогда не возникало! Возможно ли включить что-то в область черного списка в Proxmox?

С уважением, Детлеф

dietmar Guest	#3 0 26.10.2014 13:35:00 Почему у тебя чёрный список размером 256 Кбайт? PVE файрвол не предназначен для управления такими огромными списками.

Virtualizer

Guest

26.10.2014 13:46:00

В этот чёрный список занесены заблокированные пользователи, которые хакнули, создали злоупотребления или устроили DDoS-атаки на другие серверы за последние 24 часа! Мы используем здесь чёрный список с blocklist.de! Там примерно 13 000 IP-адресов, и мы сократили их до CIDR-ов, уменьшив размер с 299015 байт до 168411 байт. Мы уже использовали это раньше на многих серверах через маршрутный блокировку без проблем! С уважением, Детлеф.

dietmar Guest	#5 0 26.10.2014 14:18:00 Я думаю, тебе стоит создать правила iptables для этого за файерволом PVE.

dietmar

Guest

26.10.2014 15:03:00

Да, pmxcfs не может обрабатывать такие большие файлы, в этом проблема. Не уверен, о чем вы здесь говорите? Можно использовать и ipset. Но давайте обсудим вопросы, связанные с разработкой, в рассылке pve development mailing list. Это не подходящее место. Смотрите: http://pve.proxmox.com/wiki/Developer_Documentation. Уверен, мы найдем решение этой проблемы. Возможно ли добавить в черный список область в Proxmox? С уважением, Детлеф.

spirit Guest	#7 0 26.10.2014 15:30:00 Я уверен, что ipset hash:net может обработать 65536 записей, возможно, даже больше. (и это должно быть быстро).

dietmar Guest	#8 0 26.10.2014 17:21:00 @spirit: Но размер файла pmxcfs ограничен.

spirit Guest	#9 0 26.10.2014 19:50:00 Да, конечно. Может, добавить директиву "include", чтобы подключать внешний файл со списком IP-адресов? Это могло бы быть полезно, чтобы легко скачивать публичные блэклисты IP с помощью wget.

dietmar Guest	#10 0 27.10.2014 08:13:00 Можем ли мы обсудить вопрос, связанный с разработкой, в рассылке по разработке PvE?

ChrisJM Guest	#11 0 30.04.2025 12:26:00 Привет! У меня та же проблема, у меня огромный список блокировок, и я натыкаюсь на ограничения по размеру файла. Есть ли способ сделать include, чтобы перенести это в отдельный файл?

UdoB Guest	#12 0 30.04.2025 18:05:00 Ну, вы же знаете, что /etc/pve – это представление общей базы данных, так что все, что вы туда добавляете, увеличивает её размер. Текущая реализация быстрая. Она надежная. Но ее нужно, чтобы она была маленькой.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры