Хорошо, я тоже пытаюсь в этом разобраться. У меня PVE 3.4, и я читаю https://pve.proxmox.com/wiki/Proxmox_VE_Firewall. Прежде чем что-то делать с файрволом, мне нужно ТЩАТЕЛЬНО понять, что именно значит следующее, потому что для такой важной штуки все не очень ясно:

У меня PVE 3.4, так что согласно вышеописанному, мне НЕ нужно добавлять правила для портов 22 и 8006 перед включением файрвола. Но это не кажется правильным, потому что в интерфейсе в Datacentre > Firewall > Options я вижу такие настройки: Input policy — DROP, Output policy — ACCEPT.

Правильно ли я понимаю, что если я поставлю галочку «Enable firewall» на уровне Datacentre, то по умолчанию меня сразу же заблокируют в Proxmox? Или эта запись в вики значит, что в PVE 3.4 порты 22 и 8006 при включении файрвола открыты по умолчанию и включение файрвола не превратит жизнь в ад?

Кстати, я правильно понимаю, что правила файрвола работают каскадом? То есть, если я на уровне Datacentre запрещу порт 80, то во всех моих ВМ тоже будет запрещён порт 80, если только я явно не разрешу его на уровне ноды?

Извиняюсь за неразбериху...

Окей, спасибо. Возможно, я вежливо предложу кое-какие правки на странице вики, потому что, честно говоря, сейчас там полный беспредел и это может привести к серьёзным проблемам. Кстати, почему правила для портов администратора proxmox по умолчанию не настроены в настройках дата-центра? Кажется, это настоящая катастрофа для всех, кто включит файрвол.

В теории — да (хотя iptables по умолчанию стоит ACCEPT, как знают все, кто пытался запустить sudo iptables -L на настроенной системе). Моя мысль в том, что на практике для Proxmox какой вообще смысл в настройке по умолчанию, которая не позволяет получить доступ к самой системе, которая управляет фаерволлом?

П.С. Теперь вижу, что, возможно, начиная с PVE 3.4, в качестве разумного дефолта по умолчанию разрешён доступ к интерфейсу. Но опять же, всё не очень понятно: http://forum.proxmox.com/threads/21333-Problem-Getting-pve-firewall-to-work

«Создавать правило для этого не нужно. Это уже по умолчанию.»

Понимаю, значит команда "pve-firewall localnet" покажет сети, для которых политика фаервола разрешит доступ. Если я установлю на уровне дата-центра политику in/out в "accept", то, насколько я понимаю, мне нужно будет добавить в конце правил для моей виртуальной машины дефолтную политику "drop", так?