+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с исходящим трафиком на виртуальной машине, Proxmox Виртуальная Среда

MarkKnaap

Guest

18.01.2019 20:07:00

Привет! Будучи новичком в Proxmox, для участников форума это, наверное, элементарно, но всё же. Я активировал файрволл на уровне дата-центра с настройками по умолчанию: входящие DROP, исходящие ACCEPT. Далее включил файрволл на одной из ВМ с такими же настройками: входящие DROP, исходящие ACCEPT. Настроил входящие правила, например, 3000 ACCEPT, 2055 ACCEPT (да, это ntopng). Всё отлично работает для локальной сети и другой домашней сети (я задал алиасы с CIDR-нотацией на уровне дата-центра и использую их для определения правил входящего трафика).

Однако весь исходящий трафик, похоже, блокируется: не могу пропинговать другую машину в подсети, apt-get upgrade не запускается, а DNS зависает, поскольку ntop на веб-консоли не разрешает IP-адреса. Отключение файрволла на ВМ не помогает, помогает только отключение файрволла на уровне дата-центра, но это логично, ведь тогда файрволл вообще не работает.

Я, по наивности, думал, что правило исходящего ACCEPT позволит любой исходящий трафик с ВМ, тем более что на уровне дата-центра тоже стоит исходящий ACCEPT. Очевидно, я что-то делаю не так? Честно говоря, я не трогал файрволл кластера — там вроде бы нет дефолтных правил DROP / исходящий ACCEPT, или стоит их задать? Спасибо. С уважением, Марк.

bcmike

Guest

28.05.2019 20:26:00

У меня возникла проблема именно с исходящим трафиком с одной ВМ. Оказалось, что в настройках фаервола на уровне ВМ была включена опция «IP Filtering». Я её отключил, и исходящий трафик снова пошёл. Из документации: Стандартный IP набор ipfilter-net* Эти фильтры привязаны к сетевому интерфейсу ВМ и используются в основном для предотвращения подмены IP-адресов. Если для интерфейса есть такой набор, то любой исходящий трафик с исходным IP, не соответствующим ipfilter-набору этого интерфейса, будет сбрасываться. Для контейнеров с настроенными IP-адресами такие наборы, если они существуют (или активируются через общую опцию IP Filter во вкладке настроек фаервола ВМ), автоматически содержат связанные IP-адреса. Для виртуальных машин и контейнеров они также автоматически включают стандартный MAC-адрес, преобразованный в IPv6 link-local адрес, чтобы обеспечить работу протокола обнаружения соседей.

aljaxus Guest	#3 0 02.11.2019 20:24:00 Извиняюсь за то, что поднимаю тему снова, но у меня точно такая же проблема. Ты как-то смог это «починить» или сделал какие-то выводы?

LMC

Guest

19.11.2019 02:14:00

Одно, что я только что заметил в PVE 6 (последняя версия, обновлён с PVE 5) — при создании контейнера, если оставить "MAC-адрес" на автомате, он сгенерирует MAC при запуске контейнера, но как только включаешь файрвол на этом контейнере, даже если задаёшь правила для исходящего трафика, он никак не выходит во внешний мир, работают только заданные входящие правила. Как только в настройках сети вручную прописываешь MAC-адрес, всё начинает работать. Думаю, это какой-то баг...

ned

Guest

19.11.2019 16:56:00

Могу подтвердить баг, о котором @LMC писал в предыдущем посте, у меня была такая же проблема. @Richard @dietmar может показаться, что это ерунда, но на самом деле нет — я не мог использовать свой FW на последней версии, пока не погуглил решение. Спасибо!

bzl Guest	#6 0 20.11.2019 17:42:00 Подтверждаю тот же баг. Когда MAC установлен в Auto, правила в IPset не работают, потому что MAC-адрес меняется каждые 15 секунд. Смотрите вывод ниже, команды выполнялись с интервалом в 5 секунд для одной виртуальной машины на сервере. Если вручную задать MAC, правила ipset начинают работать и для исходящего, и для входящего трафика. Код: root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:5e:b7:57:bf:3d -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:5e:b7:57:bf:3d -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:5e:b7:57:bf:3d -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:f1:a6:e2:44:18 -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:b6:39:6b:d4:d -j DROP root@p-9-it:~# ebtables -L \| grep 50: -s ! 50:b6:39:6b:d4:d -j DROP Код: Bridge chain: veth2019i0-OUT, entries: 3, policy: ACCEPT -s ! 50:62:31:f1:bf:6b -j DROP <--- этот MAC меняется -p ARP -j veth2019i0-OUT-ARP -j ACCEPT Bridge chain: veth2019i0-OUT-ARP, entries: 3, policy: ACCEPT -p ARP --arp-ip-src 176...* -j RETURN -p ARP --arp-ip-src 176...* -j RETURN -j DROP Код: # pveversion -v proxmox-ve: 6.0-2 (ядро: 5.0.21-5-pve) pve-manager: 6.0-12 (текущая версия: 6.0-12/0a603350) pve-kernel-helper: 6.0-12 pve-kernel-5.0: 6.0-11 pve-kernel-5.0.21-5-pve: 5.0.21-10 pve-kernel-5.0.15-1-pve: 5.0.15-1 ceph-fuse: 12.2.11+dfsg1-2.1+b1 corosync: 3.0.2-pve4 criu: 3.11-3 glusterfs-client: 5.5-3 ksm-control-daemon: 1.3-1 libjs-extjs: 6.0.1-10 libknet1: 1.13-pve1 libpve-access-control: 6.0-3 libpve-apiclient-perl: 3.0-2 libpve-common-perl: 6.0-7 libpve-guest-common-perl: 3.0-2 libpve-http-server-perl: 3.0-3 libpve-storage-perl: 6.0-9 libqb0: 1.0.5-1 libspice-server1: 0.14.2-4~pve6+1 lvm2: 2.03.02-pve3 lxc-pve: 3.2.1-1 lxcfs: 3.0.3-pve60 novnc-pve: 1.1.0-1 proxmox-mini-journalreader: 1.1-1 proxmox-widget-toolkit: 2.0-8 pve-cluster: 6.0-7 pve-container: 3.0-10 pve-docs: 6.0-8 pve-edk2-firmware: 2.20190614-1 pve-firewall: 4.0-7 pve-firmware: 3.0-4 pve-ha-manager: 3.0-3 pve-i18n: 2.0-3 pve-qemu-kvm: 4.0.1-5 pve-xtermjs: 3.13.2-1 qemu-server: 6.0-13 smartmontools: 7.0-pve2 spiceterm: 3.1-1 vncterm: 1.6-1 zfsutils-linux: 0.8.2-pve2

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры