+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с брандмауэром Proxmox и мостами контейнеров, Proxmox Виртуальная Среда

redjohn

Guest

21.02.2017 21:19:00

Всем привет! У меня проблема с файрволом Proxmox. Я активировал его на хосте Proxmox и на всех контейнерах — всё работает нормально. Но один контейнер не имеет публичного IP-адреса и использует хост Proxmox для DNS-разрешения (доступ в интернет). Если я включаю файрвол Proxmox на этом контейнере, то не могу подключиться к интернету и не могу пропинговать хост Proxmox. Если отключить файрвол на сетевой карте контейнера, доступ есть, а при включении — доступа в интернет нет и ничего не пингуется. Есть у кого идеи или решения? Было бы очень-очень здорово!

Моя конфигурация на хосте Proxmox:
Code:
auto vmbr1
iface vmbr1 inet static
address 192.168.30.254
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '192.168.30.0/24' -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '192.168.30.0/24' -o vmbr0 -j MASQUERADE

Richard

Guest

08.03.2017 14:56:00

Не совсем понятно, в первом сообщении написано "...использовать proxmox хост для dns resolv....", но приведённый выше трассировочный маршрут скорее показывает попытку напрямую обратиться к DNS в интернете. Или вы имели в виду, что контейнер выходит в интернет через Proxmox VE в роли NAT-маршрутизатора? Было бы проще, если вы выложите полностью /etc/network/interfaces и конфигурационный файл контейнера. Однако важно понимать, что для фильтрации портов ВМ и CT создаются дополнительные мосты; объединять эти мосты с NAT в LINUX не поддерживается. Возможное решение – использовать для NAT отдельный контейнер.

t_b

Guest

08.03.2017 15:04:00

@Richard Поскольку у меня такая же проблема, это должно быть почти так же, как в случае @OliverB:
/etc/network/interfaces (CT)
Код:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.10.10.2
netmask 255.255.255.0
gateway 10.10.10.1

/etc/resolv.conf (CT)
Код:
# --- BEGIN PVE ---
search domain.tld
nameserver 80.237.x.y
nameserver 80.237.x.z
# --- END PVE ---

Конечно, я пробовал использовать 10.10.10.1 в качестве nameserver. Конфигурация хоста сейчас точно такая же, как в вики (реальный IP, разумеется, изменён).

redjohn Guest	#4 0 08.03.2017 16:53:00 Привет, я настроил хост Proxmox для NAT по инструкции https://pve.proxmox.com/wiki/Network_Model#Masquerading_.28NAT.29_with_iptables. Хост Proxmox сконфигурирован для NAT, контейнер использует хост Proxmox для NAT. Есть какие-нибудь идеи?

Richard

Guest

09.03.2017 10:11:00

Да, но как уже говорил: объединить файрвол для виртуальных машин и контейнеров с NAT не получается — причину я объяснял в предыдущем сообщении (дополнительный мост между сетевыми интерфейсами ВМ или контейнеров и мостами Proxmox "vmbr..."). Перенесите функцию NAT в виртуальную машину или контейнер.

t_b Guest	#6 0 07.03.2017 22:42:00 @OliverB смотри: https://forum.proxmox.com/threads/no-connection-to-the-internet-from-container.33401/#post-164030

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры