отличия на уровне файрвола, Proxmox Виртуальная Среда
vigilian
Guest
0
23.10.2015 08:37:00
Привет, я новичок в этом и хотел бы узнать, в чём разница между уровнями файрвола в Proxmox? Например, между уровнем центра обработки данных и узла?
vigilian
Guest
0
08.03.2016 23:33:00
Можем ли мы представить, что дата-центр — это хост-машина, а узел — виртуальная концепция сущности? Тогда только если связать несколько узлов вместе, брандмауэр узла должен использовать только эти правила?
hakim
Guest
0
09.04.2016 13:08:00
Привет, Вольфганг! Эта информация действительно важна и заслуживает нескольких строк в документации по файерволу с порядком их применения. Спасибо, что объяснил, Хаким.
nbeam
Guest
0
10.04.2016 20:47:00
Я написал длинный пост по этой теме, потому что мне совершенно запутался в настройках фаервола, и плюс один к идее добавить больше документации на Wiki. Вики как будто говорит, что правила каскадируют вплоть до контейнеров и ВМ, но это точно не так. Огромное спасибо wbumiller за пояснение, что правила фаервола на уровне Datacenter каскадируют только до NODES и не дальше! Теперь многое становится понятнее относительно того, что я видел.
Я написал длинную статью про настройку фаервола в Proxmox 4 (админы, если посты с внешними ссылками запрещены — прошу удалить, извиняюсь, я много времени потратил на это и не хотел переделывать заново). Там есть и разговор про IPv6, что может быть актуально, а может и нет. В статье я подробно описал свой подход.
По поводу комментария vigilian: «Можем ли мы представить, что datacenter — это хост-машина, а node — виртуальная концепция сущности? Тогда только если связать несколько нод вместе, фаервол ноды должен использовать только эти правила?» Я думаю, ответ — НЕТ, это неправильное понимание. Proxmox создан для кластеров, так что у вас может быть несколько NODE в вашем Datacenter. NODE — это физическая машина, а Datacenter — просто «организационная единица» или «корзина», в которой лежат ноды.
Поэтому лучше всего думать так, исходя из слов wbumiller: вы хотите, чтобы некоторые правила применялись ко всем вашим физическим нодам постоянно. Например, чтобы был открыт порт 8006, и, если вы используете кластеризацию, чтобы были открыты соответствующие порты кластера. Такие правила вы настраиваете на уровне DC, и они «каскадируют» на все ноды, чтобы не дублировать их на каждой отдельно.
Однако, как так любезно указал wbumiller (и это должно быть ясно изложено в Wiki), ВМ и контейнеры — это отдельные острова. Их фаерволы, насколько я понимаю, никак не зависят от настроек на уровнях DC и NODE. Нужно относиться к ним именно так.
Где начинается неразбериха — это NAT и проброс портов. Если вы используете проброс портов для контейнера, возможно, придется настроить правила фаервола на уровне NODE или DC, разрешающие доступ к публичной стороне проброса NAT. Например, у меня есть контейнер с Apache, который запускает сайт на порту 80 внутри контейнера. На хосте есть NAT-правило, которое пробрасывает, скажем, порт 8080 моего публичного IP на порт 80 контейнера. В такой ситуации, возможно, нужно правило на уровне DC или NODE, разрешающее доступ к порту 8080. Кто-то, комментируя мою статью, сказал, что это не так, и мы немного размышляли, почему.
В общем, надеюсь, что мои размышления вам помогут — я пару дней боролся с этим фаерволом и понимаю всех, кто столкнулся с тем же. Удачи и всего хорошего!
hakim
Guest
0
11.04.2016 09:32:00
Привет! Судя по тому, что я видел (смотрел финальные правила, сгенерированные iptables — используя iptables-save, как советуется в документации), правила, которые применяются к контейнерам, — это правила FORWARD (на уровне хоста). А цепочка FORWARD по умолчанию принимает весь трафик. Возможно, поэтому правила DC и хоста (INPUT и OUTPUT) не действуют на контейнер. Значит, добавлять своё правило для порта 8080 не нужно.
Добавление файрвола — действительно отличный шаг со стороны команды Proxmox. Для тех, кто раньше ничего не использовал, включить его было несложно (хуже уже не могло быть). Но для тех, кто пользовался чем-то другим, нужно лучше понимать, какие сервисы предоставляет файрвол Proxmox и как он работает, прежде чем менять предыдущую систему. А документация в этом плане особо не помогает. Там есть хорошие подсказки, как его активировать, но информации о том, КАК он работает, недостаточно. Мне тоже пришлось провести много тестов, чтобы выяснить, как это всё функционирует — и я до сих пор не понял всех стандартных правил, которые применяются тут и там (и которые в документации не описаны). В любом случае, это отличный инструмент, который заслуживает более подробной документации.
Хаким
5t3f4n
Guest
0
16.04.2016 22:15:00
Понравилась статья, nbeam — отличный материал! Вопрос в том, применимы ли описанные шаги из вашей статьи к Proxmox VE 3.4? Спрашиваю конкретно, нужно ли мне исключать порты 111 и 85 из базовой группы безопасности, так как в версии 3.4 они не используются по умолчанию:
Список портов Proxmox VE 4.x и выше: Веб-интерфейс: 8006 pvedaemon (слушает только на 127.0.0.1): 85 VNC веб-консоль: 5900–5999 SPICE proxy: 3128 sshd (используется для кластерных операций): 22 rpcbind: 111 multicast corosync (если используется кластер): 5404, 5405 UDP
Список портов Proxmox VE 3.x: Веб-интерфейс: 8006 VNC веб-консоль: 5900–5999 SPICE консоль: 3128 SSH доступ (опционально): 22 multicast CMAN (если используется кластер): 5404, 5405 UDP
