Привет! Я использую встроенный в Proxmox файрвол, и он отличный. В частной сети (172.16.10.x) файрвол работает и блокирует всё, что явно не разрешено (Input Policy: DROP, OUTPUT Policy: ACCEPT), но когда я использую публичный IP, файрвол полностью игнорирует правила, и весь трафик на публичном IP проходит без ограничений (а вот на приватном IP фильтрация остаётся).

Вот моя сетевая конфигурация на стороне виртуальной машины:

Code:  
admin@vm:~$ cat /etc/network/interfaces

auto lo  
iface lo inet loopback

auto eth0  
iface eth0 inet static  
  address 172.16.10.11/24  
  dns-nameservers 172.16.10.25 1.1.1.1

auto eth0.100  
iface eth0.100 inet static  
  address 201.40.31.7/32  
  gateway 201.40.31.28

Например, если я ставлю веб-сервер и слушаю и на 201.40.31.7:80, и на 172.16.10.11:80, то если я не разрешаю HTTP-трафик в файрволе Proxmox, то на приватном IP сервер не работает (что логично и прекрасно!), но на публичном IP—вне зависимости от настроек файрвола, он игнорируется и всё работает.

Приватный IP в VLAN 50, публичные IP — в VLAN 100.  
Файрвол активирован на уровне кластера, на каждом хосте, на каждой ВМ (и, конечно же, на сетевой карте ВМ!).

Code:  
pve-firewall status  
Status: enabled/running

Spoiler: Конфигурация сети хоста:  


Spoiler: Конфигурация файрвола на ВМ:  


Spoiler: Сетевое устройство ВМ на PVE:  


Я также пробовал выставить INPUT Policy: DROP и OUTPUT Policy: DROP — трафик отбрасывается в приватной сети, но на публичном IP трафик всё равно проходит.

Что-то я упустил? Надеюсь, кто-нибудь сможет помочь!

С уважением.