+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

`pve-firewall status` застрял на "Статус: включён/запущен (ожидание изменений)", Proxmox Виртуальная Среда

JulienMru

Guest

23.03.2018 11:59:00

Всем привет, у меня есть кластер из 6 узлов, у двух из которых возникла проблема: команда `pve-firewall status` зависает на «Status: enabled/running (pending changes)». Фаервол включён на уровне Datacenter, на самом узле и на виртуальных машинах. Я приложил вывод `pve-firewall compile`: есть идеи, в чём дело? Фаервол не работает (то есть пакеты не фильтруются), вероятно, из-за этой ошибки.

Код:

root@node5:~# pveversion -v
proxmox-ve: 4.4-107 (running kernel: 4.4.44-1-pve)
pve-manager: 4.4-22 (running version: 4.4-22/2728f613)
pve-kernel-4.4.35-1-pve: 4.4.35-77
pve-kernel-4.4.44-1-pve: 4.4.44-84
pve-kernel-4.4.98-6-pve: 4.4.98-107
pve-kernel-4.4.49-1-pve: 4.4.49-86
lvm2: 2.02.116-pve3
corosync-pve: 2.4.2-2~pve4+1
libqb0: 1.0.1-1
pve-cluster: 4.0-54
qemu-server: 4.0-115
pve-firmware: 1.1-11
libpve-common-perl: 4.0-96
libpve-access-control: 4.0-23
libpve-storage-perl: 4.0-76
pve-libspice-server1: 0.12.8-2
vncterm: 1.3-2
pve-docs: 4.4-4
pve-qemu-kvm: 2.9.1-9~pve4
pve-container: 1.0-104
pve-firewall: 2.0-33
pve-ha-manager: 1.0-41
ksm-control-daemon: 1.2-1
glusterfs-client: 3.5.2-2+deb8u3
lxc-pve: 2.0.7-4
lxcfs: 2.0.6-pve1
criu: 1.6.0-1
novnc-pve: 0.5-9
smartmontools: 6.5+svn4324-1~pve80
zfsutils: 0.6.5.9-pve15~bpo80
openvswitch-switch: 2.6.0-2

С уважением.

Tim Riggs

Guest

08.04.2018 22:34:00

У меня такая же проблема. Вот что я вижу в /var/log/daemon.log до и после выполнения pve-firewall reload:

Код:
Apr 8 16:32:06 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:32:16 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:32:26 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:32:36 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:32:46 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:32:46 srv7-prox-dac systemd[1]: Запущена сессия 371 пользователя root.
Apr 8 16:32:52 srv7-prox-dac systemd[1]: Перезагрузка Proxmox VE firewall.
Apr 8 16:32:52 srv7-prox-dac pve-firewall[29249]: отправлен сигнал HUP процессу 23595
Apr 8 16:32:52 srv7-prox-dac pve-firewall[23595]: получен сигнал HUP
Apr 8 16:32:52 srv7-prox-dac pve-firewall[23595]: сервер остановлен (перезапуск)
Apr 8 16:32:52 srv7-prox-dac systemd[1]: Proxmox VE firewall перезагружен.
Apr 8 16:32:53 srv7-prox-dac pve-firewall[23595]: перезапуск сервера
Apr 8 16:32:53 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:33:00 srv7-prox-dac systemd[1]: Запуск Proxmox VE replication runner...
Apr 8 16:33:01 srv7-prox-dac systemd[1]: Proxmox VE replication runner запущен.
Apr 8 16:33:03 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:33:13 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
Apr 8 16:33:23 srv7-prox-dac pve-firewall[23595]: ошибка обновления статуса: iptables_restore_cmdlist: Попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.

Не совсем понимаю, как дальше с этим разбираться.

Tim Riggs Guest	#3 0 11.04.2018 04:26:00 В итоге у меня всё решилось после выполнения apt-get update и перезагрузки узла.

wbumiller

Guest

11.04.2018 12:13:00

Быстрый взгляд на compile.txt показывает довольно длинную строку с множеством портов (в разделе input группы 'cpanel'). pve-firewall версии 3.0-6 и выше должен выдавать предупреждение при ее вводе, посмотри, сработает ли удаление этой строки. Если поможет, раздели её на несколько правил.

JulienMru Guest	#5 0 12.04.2018 15:47:00 Вау, wbumiller! Вот в чём была проблема. Большое спасибо за твоё объяснение. Есть ли какой-то способ разобраться с такой проблемой самостоятельно, чтобы не обращаться к тебе за помощью?

wbumiller

Guest

13.04.2018 10:39:00

Есть долгосрочный план по улучшению тестирования правил при их применении, чтобы как-то отмечать их в интерфейсе или хотя бы показывать в логах, какое именно правило не срабатывает, но низкоуровневые инструменты делают это довольно сложно и неудобно. Пока что этого не происходит — мы пытаемся выявлять проблемы в момент добавления правил, но, как вы заметили, пока не все ограничения учтены.

JulienMru Guest	#7 0 13.04.2018 13:40:00 Спасибо за обратную связь.

Virtualizer Guest	#8 0 15.07.2018 11:08:00 Дорогие, у нас сейчас такая же проблема на двух хостах с proxmox 5.2-2, а на старом proxmox 4.x этой проблемы не было! Uname -a: Linux pm21-host 4.15.17-3-pve #1 SMP PVE 4.15.17-13 (Mon, 18 Jun 2018 17:15:04 +0200) x86_64 GNU/Linux Проблема в том, что в этой ситуации файрвол не блокирует плохой трафик!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры