+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы., Proxmox Виртуальная Среда

wahmed

Guest

07.03.2016 03:21:00

Привет! В последнее время я замечаю такую ошибку в syslog одного из узлов Proxmox:
Код: pve-firewall[1869]: status update error: iptables_restore_cmdlist: Попробуйте `iptables-restore -h` или `iptables-restore --help` для получения дополнительной информации.

Похоже, из-за этой ошибки на узле «ломается» файрвол, потому что ни одно из правил не применяется. На всех узлах одинаковая и актуальная конфигурация.

В чем может быть причина и как исправить, чтобы файрвол снова заработал?

Сама ошибка слишком общее и непонятное описание. Я запускал предложенную команду `iptables-restore -h`, но там лишь показаны доступные опции.

wbumiller Guest	#2 0 21.03.2016 10:13:00 Было бы полезно знать, какое именно правило вызывает эту проблему. Нет общей известной ошибки, которая касалась бы «всех» правил, и я использую правила файрвола для ipv6 на разных машинах без проблем.

baptistemm

Guest

28.09.2016 19:48:00

Привет, продолжаю эту тему, потому что сейчас сталкиваюсь с той же ошибкой и обнаружил, что ни одно из правил iptables, заданных в proxmox, не применяется. pve-firewall compile ошибок не выдает. Буду признателен за любые советы.

П.С. Как отметил автор этой темы, отключение единственного правила для ipv6 (применяемого по всему кластеру) решило проблему. Готов помочь, если кто-то захочет разобраться вместе.

wbumiller

Guest

29.09.2016 09:00:00

Возможно, какой-то модуль ядра iptables не был загружен, и вы обновили работающий пакет ядра до того, как впервые активировали фаервол? Можете показать результат команды `pve-firewall compile`? И, возможно, вручную применить некоторые из выведенных строк и проверить, не какая ли из них выдаёт ошибку? Например, создать цепочки через `ip6tables -N "name"` и попробовать выполнить строки с ключом `-A`, относящиеся к ipv6, из вывода `pve-firewall compile`, предваряя их командой `ip6tables`.

baptistemm

Guest

29.09.2016 13:31:00

Привет, wbumiller. Сомневаюсь, что это проблема модуля, я уже давно вижу эту ошибку, обновлял ядро и перезагружался несколько раз. Результат работы команды 'pve-firewall compile' с включённой политикой IPv6 здесь: http://paste.debian.net/844541/ (не могу вставить прямо сюда, слишком большой объём).

Я заметил, что есть два раздела «create PVEFW-HOST-IN» с разными хэш-суммами, когда присутствует политика ip6. А при работе только с ipv4 вторая секция «create» заменяется на «exists». Может, в этом и кроется проблема? Разницу между ipv4-only и ipv4-ipv6 можно посмотреть тут: http://paste.debian.net/844598/

Когда пытаюсь применить политику ipv6, получаю такую ошибку. Код:
root@cactus:~# ip6tables -A PVEFW-HOST-IN -p ipv6 --dport 51413 -j RETURN
ip6tables v1.4.21: неизвестный параметр "--dport"
Попробуйте `ip6tables -h` или `ip6tables --help` для подробностей.

wbumiller Guest	#6 0 29.09.2016 15:16:00 Ага, понятно. Это то, что нам нужно отловить. Интересно, почему IPv6 вообще оказался в списке протоколов таким образом. Порты не относятся к IPv6, а к базовому протоколу (TCP, UDP), так что это правило должно распознаваться как неправильное.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры