+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RSS

Блокировка доступа к LAN для виртуальных машин не работает, если разрешить только пинг с помощью nftables., Proxmox Виртуальная Среда

encryptedserver

Guest

24.04.2024 18:38:00

Раньше я блокировал в файрволе приватный диапазон 10.0.0.0 и разрешал шлюзу, и это работало. Но теперь, после обновления и включения nftables, я могу пинговать виртуальные машины, но они не подключаются ни через какой другой порт (SSH, HTTPS). Как только я отключаю правило блокировки исходящих соединений на 10.0.0.0, я могу подключиться ко всем виртуальным машинам в Proxmox.

encryptedserver

Guest

14.05.2024 17:37:00

С моего локального компьютера в LAN. Правила те же.

Код:
chain group-deny-lan-access-in {
}

chain group-deny-lan-access-out {
ip6 daddr fd88::1 accept
ip daddr 10.88.88.1 accept
ip6 daddr fd88::/64 drop
ip daddr 10.88.88.0/24 drop
}

chain guest-100-in {
jump allow-dhcp-in
jump allow-ndp-in
ether type arp accept
jump group-deny-lan-access-in
jump after-vm-in
accept
}

chain guest-100-out {
jump allow-dhcp-out
jump allow-ndp-out
jump allow-ra-out
jump group-deny-lan-access-out
accept
}

Если я удаляю блокировку исходящего fd88::/64 и 10.88.88.0/24, то могу подключиться к виртуальной машине.

shanreich Guest	#3 0 14.05.2024 17:40:00 Какой имеет IP из диапазона 10.88.88.0/24, но не 10.88.88.1? Скорее всего, это из-за отсутствия правила conntrack в цепочке отправки, и скоро на рассылке появится патч по этому поводу.

encryptedserver Guest	#4 0 14.05.2024 17:45:00 fd88::/64, 10.88.88.0/24 — это моя домашняя подсеть, я разрешил шлюз fd88::1, 10.88.88.1 и заблокировал остальное. Раньше это работало с iptables. Если я подключаюсь к виртуальной машине (fd88::a97, 10.88.88.11), то соединение невозможно.

shanreich Guest	#5 0 15.05.2024 16:47:00 Это должно быть исправлено следующим патчем: https://lists.proxmox.com/pipermail/pve-devel/2024-May/063868.html

encryptedserver

Guest

15.05.2024 17:01:00

Я проверю это, как только выйдет обновление. К тому же, я отправил отчет об ошибке по настройке DHCPv6 в Proxmox, потому что что-то каждый раз при загрузке создает новый DUID. https://forum.proxmox.com/threads/l...rating-new-ipv6-duid-for-every-reboot.129429/ Отчет об ошибке https://bugzilla.proxmox.com/show_bug.cgi?id=5466

shanreich Guest	#7 0 22.05.2024 10:09:00 Мы выпустили новую версию файрвола (0.4.2), которая, как надеемся, решит ваши проблемы.

encryptedserver Guest	#8 0 23.05.2024 05:20:00 Я сделал apt update, но обновлений нет, прошло уже больше 10 часов.

shanreich Guest	#9 0 23.05.2024 10:18:00 Извините, сейчас это только в тестовом режиме — я ошибся при проверке.

encryptedserver Guest	#10 0 23.05.2024 20:13:00 Могу подтвердить, что правила и для IPv6, и для IPv4 работают, и теперь я могу подключиться к виртуальной машине. Отличная работа.

shanreich Guest	#11 0 26.05.2024 14:43:00 Рад слышать — спасибо за ваше терпение!

shanreich Guest	#12 0 13.05.2024 10:19:00 Привет, извиняюсь за поздний ответ, я не был на работе последние две недели. Сегодня займусь этим!

shanreich

Guest

#13

13.05.2024 13:36:00

Мне удалось воспроизвести эту проблему у себя, и я уже отправил исправление, которое её решает [1]. Пока в качестве временного решения можно изменить правило на DROP — это должно работать. [1] https://lists.proxmox.com/pipermail/pve-devel/2024-May/063839.html

encryptedserver Guest	#14 0 13.05.2024 18:16:00 Есть ещё одна проблема: я не могу подключиться к виртуальной машине по SSH после применения вышеуказанных правил!

shanreich Guest	#15 0 14.05.2024 11:45:00 С какого IP вы пытаетесь подключиться по SSH и к какому IP?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры