Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    Принудительно направить весь трафик в мосту через виртуальную машину маршрутизатора.

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Принудительно направить весь трафик в мосту через виртуальную машину маршрутизатора., Proxmox Виртуальная Среда
     
    nett_hier
    Guest
    #1
    0
    27.03.2023 16:16:00
    Я уже искал похожие вопросы, но не смог найти удовлетворительный ответ (или, может, просто пропустил его). У меня есть виртуальная машина с OPNsense, которая выступает в роли центрального фаервола и роутера, подключённая к vmbr0 (WAN) и vmbr1 (LAN). К vmbr1 подключено несколько других ВМ. Теперь я хочу сначала изолировать все ВМ внутри vmbr1 друг от друга, а потом выборочно разрешать некоторые соединения через OPNsense VM. Судя по всему, это вроде как невозможно, потому что ВМ могут общаться между собой напрямую, минуя роутер. Кроме того, если я настрою нативный фаервол Proxmox на разных ВМ так, чтобы разрешать подключения только к роутеру, то в OPNsense я уже не смогу делать исключения из этого правила. Я бы предпочёл держать все настройки фаервола централизованно, то есть не создавать исключения в нативном фаерволе, и при этом не хочу заводить новый мост (bridge) для каждой ВМ. Есть ли какой-то более классный способ решить эту задачу?
     
     
     
    mldy
    Guest
    #2
    0
    23.08.2023 03:17:00
    Привет, ты смог решить эту проблему? У меня точно такая же ситуация. Я не могу понять, как заставить весь трафик LXC/VM идти через мою виртуальную машину opnsense, чтобы, например, контейнеры не могли общаться напрямую (обходя роутер opnsense).
     
     
     
    barbaraproctor
    Guest
    #3
    0
    23.08.2023 12:26:00
    Привет! Ты хочешь изолировать свои виртуальные машины на одном бридже и контролировать их соединения через OPNsense, верно? Я немного покопался и увидел, что можно использовать функцию под названием private bridge в Proxmox, которая не позволяет виртуалкам на одном бридже напрямую общаться друг с другом. Вместо этого они должны проходить через роутер OPNsense, где можно применять нужные тебе правила файрвола. Чтобы включить эту функцию, нужно отредактировать файл /etc/network/interfaces на хосте Proxmox и добавить эту строчку в конфигурацию vmbr1: bridge-ports none. После этого нужно перезапустить сетевой сервис или перезагрузить хост.
     
     
     
    nett_hier
    Guest
    #4
    0
    01.09.2023 16:25:00
    Спасибо за обновление, не мог бы ты скинуть пару ссылок на документацию, которую ты видел? Например, я не могу настроить bridge-ports none, потому что использую мост как основу для SDN. И похожих настроек для таких SDN я не видел. Также, даже если у меня есть всего один узел с мостом для подключения к ВМ, как соединения смогут добраться до OPNsense, но не до других узлов? Я понимаю, что это можно было бы решить с помощью фаервола Proxmox, но, как я писал в первом сообщении, хотелось бы этого избежать.
     
     
     
    nett_hier
    Guest
    #5
    0
    01.09.2023 16:27:00
    Мой текущий подход — просто создавать несколько сетей, где я могу допускать, чтобы устройства видели друг друга, и подключать каждую к VM с OPNsense. Из-за этого у виртуалки сейчас куча сетевых адаптеров, но так проще всего настроить всё. Пока что я также планирую перенести большую часть файерволлинга в Tailscale и установить его в каждую виртуалку, но пока не придумал, как сделать это максимально эффективно, особенно учитывая, что в этом случае хотелось бы, чтобы узлы видели друг друга на базовой сети, но при этом не позволяли никаких соединений, кроме как через Tailscale.
     
     
     
    coolhuman
    Guest
    #6
    0
    06.09.2023 05:43:00
    Мне удалось решить эту проблему (принудительное направление всего сетевого трафика через внешний Firewall) с помощью создания нового Linux Bridge без портов моста. После этого я настроил для каждого LXC-контейнера статический IPv4-адрес в подсети /32 и использовал IPv4-адрес Firewall этого Bridge/порта в качестве шлюза. Таким образом весь трафик проходит через мой Firewall, и контейнеры с виртуальными машинами прекратили соединяться напрямую друг с другом. Возможно, это излишне, но теперь весь трафик между LXC в моей сети сначала проходит через виртуализованный Firewall, затем через Firewall Proxmox VE (уровень интерфейса), а после — через хостовый UFW. Поскольку у меня всего 5 контейнеров, управлять ими довольно просто.
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры