+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

proxmox-firewall (nftables) и conntrack, Proxmox Виртуальная Среда

smalchow

Guest

09.01.2026 09:48:00

Привет! Тема «conntrack state migration не поддерживается или отключена, активные соединения могут прерваться» уже обсуждалась много раз, и есть несколько постов о исправлениях в qemu-server. Последнее исправление, если я правильно понял, было в версии 9.1.3 — я много читал на эту тему. Эта проблема/вопрос НЕ связаны с этими багами. Я понял, что в Proxmox 9 нужно использовать «nftables» для корректной поддержки conntrack, и он включён на каждом хосте в Firewall -> Option -> nftables = yes. Что ещё нужно сделать? Перезапускать все ВМ? Или conntrack работает для каждой ВМ, которая была перезапущена? Нужно ли включать файрвол на каждой виртуальной машине в Firewall -> Options? Нужно ли включать фильтрацию трафика на соответствующем интерфейсе ВМ в настройках интерфейса? Что я уже проверил: nftables включён, системный юнит proxmox-firewall активен и работает. Что я тестировал: включил файрвол на одной ВМ, поставил INPUT и OUTPUT по умолчанию в ACCEPT, включил файрвол на интерфейсе, попробовал live migration с включённым conntrack ticketmark — и всё равно получаю уведомление об ошибке conntrack. --- Я не уверен, как дальше действовать, может, кто-то подскажет правильное направление. Заранее спасибо, Соэрен.

astsu

Guest

27.01.2026 08:58:00

Привет, у меня такая же проблема на кластере PVE из трёх узлов с версией 9.1.4, все работают с qemu-server версии 9.1.3:
Код:
$ dpkg -l | grep qemu-server
ii qemu-server 9.1.3 amd64 Qemu Server Tools

Также появляется сообщение об ошибке "conntrack state migration not supported or disabled, active connections might get dropped" при миграции ВМ. Неважно, как была вызвана миграция — перезагрузка хоста, ручная миграция или миграция из-за режима обслуживания.

При проверке командами 'nft list' и 'conntrack --dump' вижу примерно то же, что и @smalchow описывает.

Кто-нибудь ещё сталкивался с этим? Есть какие-то способы реально это исправить?

С уважением.

smalchow

Guest

27.01.2026 09:12:00

Привет, тебе нужно установить пакеты "proxmox-firewall" и включить службу. На каждом узле в разделе "Firewall -> Options" активируй nftables (технический превью). Мы включили файрвол на каждой виртуальной машине — убедись, что у тебя есть все необходимые (по умолчанию) правила. Это должно сработать. Удачи! Соэрен

astsu

Guest

27.01.2026 09:19:00

Спасибо. Вот моя ситуация: proxmox-firewall установлен и запущен на всех узлах, nftables (техническая предварительная версия) включён на каждом узле. Межсетевой экран включён на уровне дата-центра, на каждом узле и на каждой виртуальной машине. Я использую файрвол на уровне хоста, а не правила PVE, поэтому по умолчанию выставил политику входящих/исходящих пакетов в ALLOW. Предупреждение всё равно появляется, но я только что проверил на нескольких VM с балансировкой нагрузки (постоянные соединения) — они остаются в сети. Правда, не совсем понимаю, почему это предупреждение появляется? С уважением.

smalchow Guest	#5 0 27.01.2026 09:22:00 Ты останавливал и запускал VMS? Просто перезагрузить недостаточно, нужно сначала остановить, а потом снова запустить их в PVE.

astsu Guest	#6 0 27.01.2026 09:56:00 Да, я сделал это. Но никакой разницы не заметил... Мне нормально чувствовать себя, просто «безопасно» игнорируя сообщение об ошибке, потому что всё вроде работает, но это раздражает и при этом вызывает множество звонков в поддержку от клиентов.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры