Аспро: ЛайтШоп [тема: IPFilter против IPSet]

IPFilter против IPSet

Fri, 16 Apr 2021 21:25:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вы можете задавать группы безопасности на уровне дата-центра и использовать их в правилах виртуальных машин. IPSets также могут быть определены как на уровне дата-центра, так и на уровне виртуальной машины. На уровне всего кластера, то есть для каждой виртуальной машины, это возможно только если у вас настроен NAT, чтобы весь трафик проходил через ваш хост. При использовании мостовой сети придется настраивать фаервол для каждой виртуальной машины отдельно.
16.04.2021 21:25:00, ph0x.

IPFilter против IPSet

Fri, 16 Apr 2021 21:12:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Где и как вы настраиваете эти IPSet? Единственное, что я нашёл, — это файл, которого нигде нет в графическом интерфейсе? Код: # /etc/pve/firewall/cluster.fw

[IPSET blacklist]
77.240.159.182
213.87.123.0/24

Есть ли простой способ сделать блокировку портов сразу на весь кластер, а не по диапазонам IP? Я нашёл только security groups, но их нужно вручную настраивать для каждой виртуальной машины.
16.04.2021 21:12:00, harmonyp.

IPFilter против IPSet

Fri, 16 Apr 2021 20:17:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
IPSets — это наборы адресов или сетей, которые пользователь может настроить под себя. Их можно задать практически для всего, что вы хотите использовать в правилах файрвола, например, для определённого сервера, конкретной сети или пары админских ПК. Это как псевдоним, чтобы не писать одни и те же правила с этими адресами снова и снова.

IPFilter же отвечает за то, чтобы внутрь виртуальной машины пропускались только те IP-адреса, которые были заранее определены, чтобы предотвратить подделку IP-адресов.

Так что, в итоге, это две довольно разные вещи.
16.04.2021 20:17:00, ph0x.

IPFilter против IPSet

Fri, 16 Apr 2021 19:43:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Кто-нибудь может объяснить разницу? Сегодня сам пытался разобраться и нашёл эту старую тему. Похоже, ответа так и не было, кроме совета не использовать фаервол.
16.04.2021 19:43:00, harmonyp.

IPFilter против IPSet

Thu, 14 Nov 2019 22:49:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Лучше делать это на гипервизоре для производительности. Виртуальная сетевая карта virtio-net ограничена примерно 400 тысячами пакетов в секунду, при синфлуде или атаке её можно легко перегрузить.
14.11.2019 22:49:00, spirit.

IPFilter против IPSet

Thu, 14 Nov 2019 11:32:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@Rhinox почему ты не рекомендуешь PVE-firewall для виртуальных машин? В чём преимущества настройки файрвола внутри самой виртуалки? Спасибо!
14.11.2019 11:32:00, Ciprian Tomoiaga.

IPFilter против IPSet

Fri, 04 Aug 2017 15:56:00 +0300

IPFilter против IPSet Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Всем привет! Только что оформили подписку и планируем переходить в продакшен с Proxmox, а также мигрировать нашу текущую инфраструктуру на него. Но пока есть вопросы по поводу опций IPFilter и IPSet в фаерволе. В итоге хотим защититься от подделки IP-адресов как для ВМ, так и для контейнеров.

Разве включение IP Filter в настройках фаервола дает тот же эффект, что и создание IPSet с названием 'ipfilter-net0', в который добавлен IP в формате IP/CIDR? В документации по IPFilter написано: «Включает фильтры IP по умолчанию. Это эквивалентно добавлению пустого ipset ipfilter-net для каждого интерфейса.»

Не уверен, достаточно ли пустого ipfilter-net или лучше явно прописать IP в IPSets.
04.08.2017 15:56:00, poxin.