+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Брандмауэр не блокирует на уровне виртуальной машины, Proxmox Виртуальная Среда

crazywolf13

Guest

29.03.2024 11:56:00

Привет! Я просто хотел настроить файрволы так, как показывают во многих видео на YouTube. Добавил следующие правила в датасентре:

Включил файрвол на уровне датасентра, ноды и виртуальной машины. Когда экспериментировал на уровне датасентра, трафик к нодам можно контролировать, например, SSH сейчас отключён — это можно проверить. Но при этом я всё равно могу пинговать свои ВМ, LXC получают доступ по SSH и подключаются к их веб-серверу. Я ожидал, что правило «drop all incoming» по умолчанию это заблокирует.

Тем не менее, я создал правило «block all incoming» прямо на контейнере:

Но я всё равно могу спокойно пинговать и заходить на ВМ без проблем. Что нужно сделать, чтобы файрвол действительно блокировал трафик на уровне ВМ или LXC?

shanreich

Guest

17.07.2024 14:25:00

Скорее всего, это связано с conntrack. Так как вы заранее установили соединение, в таблице conntrack есть запись, которая разрешает первый входящий трафик. Вы можете очистить таблицу conntrack, но учтите, что это повлияет на ВСЕ активные соединения на хосте или гостевой системе.

um3r

Guest

17.07.2024 14:17:00

Всем привет, у меня похожий вопрос по настройке файрвола (FW). Я включил FW, и, похоже, он работает, но не так, как я ожидал. Вот в чем дело: я отключил исходящий ICMP. Запускаю первый пинг (ping 1) на 8.8.8.8. Включаю FW. Ping 1 продолжает работать. Запускаю новый пинг (ping 2) на 8.8.8.8, но его блокируют/отклоняют. Выключаю FW. Ping 1 уже работал. Ping 2 тоже начинает работать. Это нормальное поведение правил FW или я что-то делаю не так? У меня есть две машины для анализа вредоносных программ, и я хочу при включении правила FW полностью блокировать весь сетевой трафик от хоста, а при отключении правила FW — разрешать трафик. К тому же, можно ли настроить отдельный SD? Спасибо за помощь!

_gabriel Guest	#4 0 17.07.2024 14:24:00 Да, это типично, потому что «текущие» / УСТАНОВЛЕННЫЕ соединения не блокируются. Блокируются только новые подключения.

meyergru

Guest

17.07.2024 14:27:00

Чтобы вообще иметь файрвол, нужно иметь или симулировать "состояние" (через отслеживание соединений). Допустим, у вас есть общее правило "отбрасывать всё". Это правило блокирует весь входящий трафик, даже если у вас есть разрешение на исходящий трафик, ЕСЛИ вы не можете отличить новые пакеты от тех, что просто являются ответом на разрешённый внешний трафик. Последние находятся в "установленном состоянии". В вашем примере было установлено соединение (ping 1), поэтому все ответные пакеты всё равно проходили.

sidnakvee

Guest

28.11.2024 16:25:00

Всем привет, кто новенький в мире Proxmox и OPNsense! Я успешно установил Proxmox и OPNsense, но Zenarmor не блокирует приложения, выбранные в политике. Использую прикреплённые сетевые настройки для OPNsense в Proxmox. Любая помощь и советы будут очень полезны. Могу получить доступ к интерфейсу OPNsense с машины вне виртуальной среды и вижу сессии трафика в Zenarmor, но блокировки нет.

meyergru Guest	#7 0 28.11.2024 16:35:00 Это, очевидно, тема по OpnSense, а именно по компоненту Zenarmor. Я бы предложил обсудить это здесь: https://forum.opnsense.org/index.php?board=38.0

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры