+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPFilter против IPSet, Proxmox Виртуальная Среда

poxin

Guest

04.08.2017 15:56:00

Всем привет! Только что оформили подписку и планируем переходить в продакшен с Proxmox, а также мигрировать нашу текущую инфраструктуру на него. Но пока есть вопросы по поводу опций IPFilter и IPSet в фаерволе. В итоге хотим защититься от подделки IP-адресов как для ВМ, так и для контейнеров.

Разве включение IP Filter в настройках фаервола дает тот же эффект, что и создание IPSet с названием 'ipfilter-net0', в который добавлен IP в формате IP/CIDR? В документации по IPFilter написано: «Включает фильтры IP по умолчанию. Это эквивалентно добавлению пустого ipset ipfilter-net<id> для каждого интерфейса.»

Не уверен, достаточно ли пустого ipfilter-net или лучше явно прописать IP в IPSets.

Ciprian Tomoiaga Guest	#2 0 14.11.2019 11:32:00 @Rhinox почему ты не рекомендуешь PVE-firewall для виртуальных машин? В чём преимущества настройки файрвола внутри самой виртуалки? Спасибо!

spirit Guest	#3 0 14.11.2019 22:49:00 Лучше делать это на гипервизоре для производительности. Виртуальная сетевая карта virtio-net ограничена примерно 400 тысячами пакетов в секунду, при синфлуде или атаке её можно легко перегрузить.

harmonyp Guest	#4 0 16.04.2021 19:43:00 Кто-нибудь может объяснить разницу? Сегодня сам пытался разобраться и нашёл эту старую тему. Похоже, ответа так и не было, кроме совета не использовать фаервол.

ph0x

Guest

16.04.2021 20:17:00

IPSets — это наборы адресов или сетей, которые пользователь может настроить под себя. Их можно задать практически для всего, что вы хотите использовать в правилах файрвола, например, для определённого сервера, конкретной сети или пары админских ПК. Это как псевдоним, чтобы не писать одни и те же правила с этими адресами снова и снова.

IPFilter же отвечает за то, чтобы внутрь виртуальной машины пропускались только те IP-адреса, которые были заранее определены, чтобы предотвратить подделку IP-адресов.

Так что, в итоге, это две довольно разные вещи.

harmonyp

Guest

16.04.2021 21:12:00

Где и как вы настраиваете эти IPSet? Единственное, что я нашёл, — это файл, которого нигде нет в графическом интерфейсе? Код: # /etc/pve/firewall/cluster.fw

[IPSET blacklist]
77.240.159.182
213.87.123.0/24

Есть ли простой способ сделать блокировку портов сразу на весь кластер, а не по диапазонам IP? Я нашёл только security groups, но их нужно вручную настраивать для каждой виртуальной машины.

ph0x Guest	#7 0 16.04.2021 21:25:00 Вы можете задавать группы безопасности на уровне дата-центра и использовать их в правилах виртуальных машин. IPSets также могут быть определены как на уровне дата-центра, так и на уровне виртуальной машины. На уровне всего кластера, то есть для каждой виртуальной машины, это возможно только если у вас настроен NAT, чтобы весь трафик проходил через ваш хост. При использовании мостовой сети придется настраивать фаервол для каждой виртуальной машины отдельно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры