+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RSS

[РЕШЕНО] pve-Firewall — политика по умолчанию на уровне узла и виртуальной машины / И как заставить это работать с CT, Proxmox Виртуальная Среда

albans

Guest

20.07.2015 14:23:00

Привет, я включил pve-Firewall в Proxmox 3.4. Он отлично работает на уровне узла. Я создал правила, чтобы разрешить ВХОДЯЩИЙ трафик для конкретных сервисов, таких как админка Proxmox, SSH и HTTP. Также добавил правило с самым низким приоритетом (в самом конце списка), чтобы ОТКЛОНЯТЬ весь ВХОДЯЩИЙ трафик для vmbr0. Как я уже сказал, всё работает нормально, но есть ли какой-то другой способ установить ПОЛИТИКУ ПО УМОЛЧАНИЮ — DROP? Кроме того, я пытался настроить это для OpenVZ-контейнера (где, поверх существующего статического IP, добавил интерфейс veth с включённым опцией файервола). К сожалению, это не срабатывает. Любой ВХОДЯЩИЙ трафик разрешён, независимо от установленных правил. Что мне делать, чтобы включить файервол на этом OpenVZ-контейнере? Спасибо за помощь. С уважением.

t.lamprecht Guest	#2 0 06.08.2015 08:17:00 Re: pve-Firewall — политика по умолчанию на уровне узла и виртуальной машины / и как заставить это работать Но фаерволл включён также на сетевом устройстве контейнера? Вот что я имею в виду.

albans Guest	#3 0 06.08.2015 08:19:00 Re: pve-Firewall — Политика по умолчанию на уровне узла и виртуальной машины / И как заставить это работать Да, именно так.

t.lamprecht

Guest

06.08.2015 09:32:00

Re: pve-Firewall — политика по умолчанию на уровне узла и ВМ / И как заставить это работать

Пытался воспроизвести, но безуспешно. Когда включаю файрвол на всех уровнях (ЦОД, узел, ВМ/контейнер), плюс на сетевом устройстве внутри ВМ/контейнера, правила появляются в выводе pve-firewall compile и работают как надо. Странно. Предполагаю, что твоя машина обновлена?

albans Guest	#5 0 05.08.2015 11:24:00 Re: pve-Firewall — политика по умолчанию на уровне узла и виртуальной машины / И как заставить это работать? Есть отзывы? Спасибо!

t.lamprecht

Guest

05.08.2015 12:50:00

Re: pve-Firewall — политика по умолчанию на уровне узла и виртуальной машины / И как заставить это работать

Вы создаёте правило файрвола на уровне CT/VM? Код pve-firewall компилируется с вашим недавно добавленным правилом?

albans Guest	#7 0 05.08.2015 22:04:00 Re: pve-Firewall — политика по умолчанию на уровне узла и ВМ / И как заставить это работать К сожалению, нет, новые правила, настроенные в админке proxmox под конкретной ВМ, не отображаются.

t.lamprecht

Guest

06.08.2015 07:53:00

Re: pve-Firewall — Политика по умолчанию на уровне узла и ВМ / И как заставить это работать

Вы включали фаервол на сетевом устройстве? Посмотрите на вкладку «Network» на уровне CT и отредактируйте настройки, там должен быть чекбокс для фаервола. Также его нужно включить на вкладке «Firewall», если вы ещё этого не сделали, там ниже есть дополнительная подкладка с опциями (сделайте это на уровне Datacenter, Node и CT).

albans

Guest

06.08.2015 08:10:00

Re: pve-Firewall — политика по умолчанию на уровне узла и VM / и как заставить это работать

Привет,
Да, галочка Firewall включена на уровне центра обработки данных и контейнера (CT). Всё отлично работает для правил, которые я добавляю на уровне центра обработки данных. Только правила, которые я ставлю на уровне контейнера, не работают и не отображаются в команде pve-firewall compile.

Спасибо за помощь.

albans

Guest

#10

06.08.2015 17:57:00

Re: pve-Firewall – политика по умолчанию на уровне узла и ВМ / И как заставить это работать

Он включён на всех уровнях. Также нашёл, как включить его на уровне узла (вкладка options, в нижней зоне). Но всё равно... Не мог бы ты сбросить пару скриншотов с простыми правилами, активированными на всех уровнях? Чтобы я мог попробовать такую же конфигурацию. А ещё было бы круто увидеть сетевые настройки CT. Спасибо за помощь!

albans

Guest

#11

24.08.2015 09:48:00

Re: pve-Firewall - Политика по умолчанию на уровне узла и виртуальной машины / И как заставить это работать

Привет! Недавно установил последнюю версию Proxmox и могу подтвердить, что файрволл работает на всех уровнях. У меня не получилось воспроизвести проблему. Единственное — опция «DROP по умолчанию» на уровне CT, похоже, не действует. Пришлось добавить правило «DROP» сверху, чтобы действительно блокировать весь входящий трафик, кроме того, что я разрешаю. Правило «DROP всего входящего» нужно ставить в конце таблицы правил, после всех остальных правил «ACCEPT».

BartmanEH Guest	#12 0 08.09.2015 01:56:00 Re: pve-Firewall — Политика по умолчанию на уровне узла и ВМ / И как это заставить работать Не зная этого факта, я сегодня часами ломал голову! Похоже, это баг в реализации интерфейса Proxmox firewall: этот параметр либо нужно убрать из GUI, либо он должен работать как положено. P.S. На самом деле я никак не могу подключиться, если добавлена правило input->DROP, неважно, стоит оно первым или последним в списке. Ещё у меня получается разный результат при попытке подключения из локальной сети и при подключении удалённо через NAT в локальную сеть. Всё ещё пытаюсь разобраться, как работает iptables

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры