http://proxmox.su Новое в теме pve-firewall с включённым nftables: ожидаются изменения форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Thu, 23 Apr 2026 20:23:50 +0300 pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Локально: Правила набора:
27.05.2025 13:16:00, Pony2835.]]> http://proxmox.su/forum/messages/forum63/message336660/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336660/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 13:16:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Первая команда не должна иметь значения, вторая команда с включённым nft, пожалуйста.
27.05.2025 13:07:00, shanreich.]]> http://proxmox.su/forum/messages/forum63/message336659/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336659/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 13:07:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ты хочешь с включёнными NFT или без них?
27.05.2025 13:06:00, Pony2835.]]> http://proxmox.su/forum/messages/forum63/message336658/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336658/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 13:06:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Какой вывод команды pve-firewall localnet? Можешь ещё скинуть вывод команды nft list ruleset?
27.05.2025 13:03:00, shanreich.]]> http://proxmox.su/forum/messages/forum63/message336657/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336657/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 13:03:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Да, я только что отредактировал последний пост. Однако функция anti-lock, похоже, действует только на nft, а не на iptables.
27.05.2025 13:03:00, Pony2835.]]> http://proxmox.su/forum/messages/forum63/message336656/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336656/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 13:03:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Похоже, с вашим набором правил проблем не было. Мне кажется, причина, по которой ваше правило drop не сработало, в том, что файрвол создает стандартный набор правил (для предотвращения блокировки доступа), который пропускает трафик на портах 22 и 8006 [1]. Это основано на management IPSet, так что если вы хотите переопределить стандартный IP управления (то есть тот IP, на который резолвится hostname узла PVE — он же IP в файле hosts), вы можете создать свой собственный management IPset [2], в котором будет указан ваш IP vmbr1.10.
[1] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pve_firewall_default_rules  
[2] https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_enabling_the_firewall
27.05.2025 12:59:00, shanreich.]]> http://proxmox.su/forum/messages/forum63/message336655/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336655/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:59:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вот, держи. Хочу добавить, если включить nft и посмотреть список nft (nft list ruleset), то увидишь, что у 8006,22 есть правило с переходом к другому правилу, и это правило-переход принимается, так как оно находится последовательно в начале пользовательских правил. Не уверен, в этом ли проблема (если nft работает как любой другой файрвол, то есть следует последовательности — возможно, в этом и есть проблема).
27.05.2025 12:52:00, Pony2835.]]> http://proxmox.su/forum/messages/forum63/message336654/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336654/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:52:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Как их обнаружить?
27.05.2025 12:20:00, itNGO.]]> http://proxmox.su/forum/messages/forum63/message336653/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336653/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:20:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Проблема, возможно, была связана со старыми VMnet или мостами. Я их убрал, и это решило проблему. Похоже, где-то на них ссылались.
27.05.2025 12:07:00, Monero101.]]> http://proxmox.su/forum/messages/forum63/message336652/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336652/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:07:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Извини, не заметил твоё исправление, когда писал сообщение — можешь прислать вывод команды systemctl status proxmox-firewall? Также, какой результат выдаёт ip a? Попробую воспроизвести проблему, не должно быть слишком сложно.
27.05.2025 12:01:00, shanreich.]]> http://proxmox.su/forum/messages/forum63/message336651/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336651/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:01:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Если вы запускаете pve-firewall status, он генерирует iptables-правила, необходимые для текущей конфигурации, и сравнивает их с текущим состоянием iptables (ip6tables и так далее). Поскольку они не совпадают, выводится этот статус. pve-firewall — это демоновая служба для старого Perl-фаервола и, соответственно, на самом деле не может использоваться с новым фаерволом, который работает как демона proxmox-firewall. Так что это не значит, что фаервол не работает. Я начал работу над реализацией таких же подкоманд для proxmox-firewall [1] — логично добавить здесь специальную обработку для pve-firewall и либо проксировать их на новый демон, либо хотя бы выводить другой статус. Я займусь этим.
[1] https://lore.proxmox.com/all/20250414154455.274151-1-s.hanreich@proxmox.com/
27.05.2025 12:00:00, shanreich.]]> http://proxmox.su/forum/messages/forum63/message336650/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336650/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 12:00:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Такая же проблема с pve-manager/8.4.1/2a5fa54a8503f96d (ядро: 6.8.12-11-pve) на уровне Datacenter. Порт 8006 с vmbr0 не блокируется. ОБНОВЛЕНИЕ: если отключить nft, всё работает.
27.05.2025 11:43:00, Pony2835.]]> http://proxmox.su/forum/messages/forum63/message336649/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336649/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Tue, 27 May 2025 11:43:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У меня то же самое на 3 узлах с версией 8.3.5. Даже после свежей перезагрузки.  
Код: pve-firewall status  
Статус: включен/запущен (есть ожидающие изменения)
22.03.2025 07:08:00, itNGO.]]> http://proxmox.su/forum/messages/forum63/message336648/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336648/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Sat, 22 Mar 2025 07:08:00 +0300 Proxmox Виртуальная Среда pve-firewall с включённым nftables: ожидаются изменения Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У меня проблема с pve-firewall: появляется статус "ожидаются изменения", как только я включаю nftables на уровне хоста.  
Код: pve-firewall status  
Статус: включён/работает (ожидаются изменения)  
Перезапуск pve-firewall не помогает.  
Удаление всех правил firewall для VNet тоже не помогает.  

Linux x3 6.8.12-4-pve #1 SMP PREEMPT_DYNAMIC PMX 6.8.12-4 (2024-11-06T15:04Z) x86_64 GNU/Linux  
Код: nft --version  
nftables v1.0.6 (Lester Gooch #5)  
Код: systemctl status pve-firewall proxmox-firewall  

● pve-firewall.service - Proxmox VE firewall  
    Loaded: загружен (/lib/systemd/system/pve-firewall.service; включён; preset: включён)  
    Active: активен (работает) с Пт 2025-03-07 14:59:04 CET; 8 мин назад  
   Process: 1433741 ExecStartPre=/usr/bin/update-alternatives --set ebtables /usr/sbin/ebtables-legacy (код=вышел, статус=0/УСПЕХ)  
   Process: 1433743 ExecStartPre=/usr/bin/update-alternatives --set iptables /usr/sbin/iptables-legacy (код=вышел, статус=0/УСПЕХ)  
   Process: 1433744 ExecStartPre=/usr/bin/update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy (код=вышел, статус=0/УСПЕХ)  
   Process: 1433745 ExecStart=/usr/sbin/pve-firewall start (код=вышел, статус=0/УСПЕХ)  
  Main PID: 1433748 (pve-firewall)  
     Tasks: 1 (лимит: 76816)  
    Memory: 98.5M  
       CPU: 10.872с  
    CGroup: /system.slice/pve-firewall.service  
            └─1433748 pve-firewall  

Mar 07 14:59:03 chant3 systemd[1]: Запуск службы pve-firewall.service - Proxmox VE firewall...
Mar 07 14:59:04 chant3 pve-firewall[1433748]: запуск сервера
Mar 07 14:59:04 chant3 systemd[1]: Служба pve-firewall.service - Proxmox VE firewall запущена.

● proxmox-firewall.service - Proxmox nftables firewall  
    Loaded: загружен (/lib/systemd/system/proxmox-firewall.service; включён; preset: включён)  
    Active: активен (работает) с Пт 2025-03-07 14:59:06 CET; 8 мин назад  
  Main PID: 1433808 (proxmox-firewal)  
     Tasks: 1 (лимит: 76816)  
    Memory: 944.0K  
       CPU: 3.315с  
    CGroup: /system.slice/proxmox-firewall.service  
            └─1433808 /usr/libexec/proxmox/proxmox-firewall  

Mar 07 14:59:06 chant3 systemd[1]: Служба proxmox-firewall.service - Proxmox nftables firewall запущена.
07.03.2025 15:11:00, Monero101.]]> http://proxmox.su/forum/messages/forum63/message336647/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya http://proxmox.su/forum/messages/forum63/message336647/79284-pve_firewall-s-vklyuchyennym-nftables_-ozhidayutsya-izmeneniya Fri, 07 Mar 2025 15:11:00 +0300 Proxmox Виртуальная Среда