+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

pveproxy слушает адрес, Proxmox Виртуальная Среда

Idar Lund

Guest

04.09.2020 13:54:00

Привет, у меня несколько Ethernet-интерфейсов. Чтобы обезопасить веб-интерфейс Proxmox, я хочу, чтобы он слушал только на одном из них. При проверке netstat вижу, что он слушает на 0.0.0.0 (всех) интерфейсах:
Код:
root@pve:~# netstat -lntp|grep 8006
tcp 0 0 0.0.0.0:8006 0.0.0.0:* LISTEN 6629/pveproxy

Посмотрел man pveproxy и нашёл следующее:
Вероятно, это блокирует запросы с IP-адресов, не включённых в ALLOW_FROM, но это зависит от мер безопасности внутри самого приложения pveproxy.
Я хочу фильтровать это на уровне ОС. Как сделать так, чтобы pveproxy слушал только на одном интерфейсе/IP?
Да, я знаю, что можно использовать iptables, но я хочу, чтобы он слушал ровно на одном интерфейсе.

topperharly

Guest

10.02.2021 09:57:00

Я полностью согласен на 100%. Это серьёзная проблема. К тому же есть ещё один нюанс: при использовании динамического инвентаря community.general.proxmox возникает ошибка. Потому что PVEPROXY возвращает интерфейсы в случайном порядке. Я вошёл в API, который ограничен только одним конкретным интерфейсом, и приходится перезапускать ansible playbook несколько раз, чтобы случайно получить нужный интерфейс. С уважением, TopperHarly

Idar Lund Guest	#3 0 28.04.2021 12:30:00 Запрошенная функция теперь в продакшене. Добавьте LISTEN_IP=<ваш_IP> в /etc/default/pveproxy и перезапустите pveproxy. Например: Bash: echo 'LISTEN_IP=127.0.0.1' > /etc/default/pveproxy systemctl restart pveproxy Чтобы проверить, сработало ли: Bash: netstat -lntp \| grep 8006

Mr.Goodcat

Guest

27.06.2021 16:11:00

Спасибо за добавление этой функции! В моём случае было бы здорово, если бы сервис можно было настроить так, чтобы он слушал несколько интерфейсов одновременно. К сожалению, просто указание, например, 'LISTEN_IP=10.0.0.1,192.168.0.1' не работает. Есть идеи, возможно ли это или планируется ли такая возможность?

Idar Lund Guest	#5 0 27.06.2021 21:14:00 Не знаю, добавят это или нет. Но ты просто можешь использовать обратный прокси. Слушай на loopback (127.0.0.1) устройстве и поставь обратный прокси на тех интерфейсах, на которых хочешь слушать в сети.

Mr.Goodcat Guest	#6 0 27.06.2021 21:25:00 Интересное решение, спасибо! Тем не менее, было бы здорово, если бы это работало из коробки, без какого-либо дополнительного ПО.

Stoiko Ivanov Guest	#7 0 28.06.2021 11:28:00 Невозможно и, честно говоря, не запланировано — в данный момент наша реализация event-loop использует один сокет (который можно привязать только к одному адресу). Менять это на несколько сокетов слишком сложно и преимущества от этого незначительны, поэтому такая возможность в PVE и PMG пока не планируется.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры