+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как изменить chain do-reject на reject?, Proxmox Виртуальная Среда

encryptedserver

Guest

02.06.2024 19:24:00

Последнее правило в цепочке do-reject неправильное. Я ломал голову, почему соединение постоянно тайм-аутится, вместо того чтобы сразу получать отказ. Сейчас там стоит drop, а должно быть reject, даже название цепочки — do-reject! Код:
chain do-reject {
meta pkttype broadcast drop
ip saddr 224.0.0.0/4 drop
meta l4proto tcp reject with tcp reset
meta l4proto { icmp, ipv6-icmp } reject
reject with icmp host-prohibited
reject with icmpv6 admin-prohibited
drop
}
Пожалуйста, исправьте правило, заменив drop на reject. Есть ли сейчас способ вручную отредактировать этот файл? Где в PVE хранятся правила nftables?

encryptedserver Guest	#2 0 05.07.2024 17:45:00 Я пытался вставить код в /etc/nftables.conf, но там он не работает. Куда мне тогда вставлять эти команды?

shanreich Guest	#3 0 07.07.2024 19:20:00 Просто сохраните это как новый файл, например, icmp.nft, затем сделайте его исполняемым (chmod +x icmp.nft) и выполните (./icmp.nft).

encryptedserver

Guest

13.07.2024 19:44:00

Похоже, я задал не тот вопрос, и приведённые выше решения можно не учитывать. Даже не волнуйтесь насчёт них. Я попробую сформулировать вопрос проще.
Я создал две правила фаервола в группе и применил их ко всем своим ВМ.
Название группы: Block LAN
Правило 1: out - 192.168.1.1 / fd88::1 - ACCEPT
Правило 2: out - 192.168.1.1/24 / fd88::/64 - REJECT

Хотя второе правило работает — ВМ теперь не могут обращаться к другим устройствам в сети, — при тестировании соединения оно просто “зависает”, вместо того чтобы сразу вернуть REJECT, как указано в правиле.
Я не понимаю, как заставить правило REJECT срабатывать мгновенно, чтобы сразу получать ответ о блокировке, а не ждать тайм-аута в несколько минут.

Буду рад, если кто-то ещё сможет проверить это распространённое правило фаервола.

spirit Guest	#5 0 15.07.2024 14:54:00 Проблема в том, что мы не можем сделать отклонение с мостовым файрволом здесь с помощью nftables. (Раньше я работал с iptables и применял пару грязных трюков, которых в nftables нет).

shanreich

Guest

15.07.2024 15:07:00

Для исходящих соединений это должно работать с правилами nftables, которые я приводил выше. Для входящих — нет. Причина в том, что ICMP-пакет с «Destination Unreachable», который генерируется фаерволом, отбрасывается, потому что у него CT состояние invalid. Правило, которое я указал выше, временно решает эту проблему, исключая все ICMP «Destination Unreachable» из conntrack. Мы также недавно объединили патч, который должен устранить эту проблему [1], но он ещё не выпущен.
[1] https://git.proxmox.com/?p=proxmox-firewall.git;a=commit;h=1e16cc8827545ab209448f3f1933a0422f5b9dda

spirit Guest	#7 0 15.07.2024 15:10:00 Ах да, извиняюсь, я неправильно прочитал. Теперь всё понятно, спасибо! (В следующем месяце попробую тестировать с nftables).

encryptedserver Guest	#8 0 15.07.2024 18:12:00 Я также протестирую это, когда это станет доступно. Кроме того, я добавил правило к каждой виртуальной машине — IN ACCEPT, которое разрешает весь входящий трафик.

encryptedserver Guest	#9 0 03.12.2024 18:37:00 Похоже, эту проблему исправили в версии 8.3, теперь при исходящих соединениях я получаю корректный REJECT (доступ с локальной сети заблокирован).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры