http://proxmox.su Новое в теме Фильтр ARP форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 18:55:16 +0300 Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
>> не сработало из-за того, как это устроено. У меня стоит политика DROP по умолчанию, и при такой настройке ipfilter работает некорректно. Что ты имеешь в виду под «как это устроено»? Вот пример ВМ, запущенной на моём кластере, с конфигурацией по умолчанию, которая отклоняет трафик.  

Код: [OPTIONS]

dhcp: 0  
log_level_out: info  
enable: 1  
macfilter: 1  
log_level_in: info  
policy_in: REJECT  
policy_out: REJECT  

[IPSET ipfilter-net0]
192.168.0.1  

ebtables  
Код:  
-A PVEFW-FWBR-OUT -i tap982i1 -j tap982i1-OUT  
-A tap982i1-OUT -s ! 46:e1:dd:b5:1a:5c -j DROP  
-A tap982i1-OUT -p ARP -j tap982i1-OUT-ARP  
-A tap982i1-OUT -j ACCEPT  
-A tap982i1-OUT-ARP -p ARP --arp-ip-src 192.168.0.1 -j RETURN  
-A tap982i1-OUT-ARP -j DROP  

iptables  
Код:  
-A tap982i1-OUT -m mac ! --mac-source 46:E1:DD:B5:1A:5C -j DROP
08.10.2020 08:10:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345056/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345056/80151-filtr-arp Thu, 08 Oct 2020 08:10:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ты прав. Это не сработало из-за конструкции системы. У меня стоит политика DROP по умолчанию, и когда она активна, ipfilter работает некорректно. Я решил использовать свои правила файрвола, которые блокируют трафик в обе стороны (ipfilter же фильтрует только исходящий, полагаясь на фильтр по MAC), а также применил фильтр по MAC. Теперь всё работает, и ответы ARP должны фильтроваться так:

Code: ebtables>
-A tap100i0-OUT -s ! d2:42:b5:57:35:3f -j DROP
-A tap100i0-OUT -j ACCEPT

iptables>
-A tap100i0-OUT -m mac ! --mac-source D2:42:B5:57:35:3F -j DROP
07.10.2020 17:55:00, mailinglists.]]> http://proxmox.su/forum/messages/forum63/message345055/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345055/80151-filtr-arp Wed, 07 Oct 2020 17:55:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
На самом деле это ipfilter-netX (в конфигурационном файле) https://pve.proxmox.com/pve-docs/chapter-pve-firewall.html#pve_firewall_ipfilter_section В iptables он создаёт ipset с суффиксом "..-v4" для правил ipv4 iptables и "..-v6" для правил ipv6 ip6tables. (В конфигурации можно просто указать и ipv4, и ipv6 в одном ipfilter-netX, Proxmox автоматически их разделит)
07.10.2020 17:51:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345054/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345054/80151-filtr-arp Wed, 07 Oct 2020 17:51:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ну, я сделал то, что ты предложил, но это не сработало. Только что проверил правила iptables на хосте и нашел такую запись: -A tap100i0-OUT -m set ! --match-set PVEFW-100-ipfilter-net0-v4 src -j DROP. Значит, ipset называется PVEFW-$VMID-ipfilter-net$NEITD-v4, а не ipfilter-netX. Сейчас попробую создать ipset с таким именем для теста и потом отчитаюсь. Хотелось бы, чтобы существовали более нормальные инструкции, типа пошаговой от уровня дата-центра до самой виртуальной машины, чтобы можно было закрепить VM за конкретными IP(сетями).
07.10.2020 14:12:00, mailinglists.]]> http://proxmox.su/forum/messages/forum63/message345053/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345053/80151-filtr-arp Wed, 07 Oct 2020 14:12:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Да, именно так!
07.10.2020 13:42:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345052/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345052/80151-filtr-arp Wed, 07 Oct 2020 13:42:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ага, спасибо за ответ, дружище. Значит, мне просто нужно убрать все правила фаервола, поставить галочку на ip filter и добавить новый ipset с названием ipfilter-netX, где X — это ID сети из раздела hardware? Круто, попробую.
07.10.2020 13:05:00, mailinglists.]]> http://proxmox.su/forum/messages/forum63/message345051/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345051/80151-filtr-arp Wed, 07 Oct 2020 13:05:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Фильтрация ARP включена по умолчанию с прошлого года, нужно только активировать ebtables на уровне дата-центра. Для CT IP-адрес берётся из заданных IP для виртуальной машины, нужно определить IP в ipset «ipfilter-netX».
03.10.2020 07:39:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345050/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345050/80151-filtr-arp Sat, 03 Oct 2020 07:39:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я собираюсь запустить PM6 в продакшен и хотел бы разобраться с этой проблемой до этого. Есть ли сейчас сборки, в которых уже есть эта функция?
02.10.2020 15:53:00, mailinglists.]]> http://proxmox.su/forum/messages/forum63/message345049/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345049/80151-filtr-arp Fri, 02 Oct 2020 15:53:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Пока нет.
22.03.2019 19:31:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345048/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345048/80151-filtr-arp Fri, 22 Mar 2019 19:31:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Это отличные новости! Он уже опубликован в тестовом репозитории?
22.03.2019 18:59:00, BelCloud.]]> http://proxmox.su/forum/messages/forum63/message345047/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345047/80151-filtr-arp Fri, 22 Mar 2019 18:59:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@BelCloud Привет, фильтрация ARP была реализована https://git.proxmox.com/?p=pve-firewall.git;a=commit;h=401c141b36315dbbfaf88b293a44654a8610793b
22.03.2019 00:29:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message345046/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345046/80151-filtr-arp Fri, 22 Mar 2019 00:29:00 +0300 Proxmox Виртуальная Среда Фильтр ARP Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Здравствуйте! Есть ли способ отфильтровать ARP-ответы? Например: 09:45:12.141931 ARP, Reply xx.xx.xx.xxis-at b2:cb:9f:21:38:a8, length 46. Сегодня у меня был клиент, который пытался использовать IP другого пользователя. Файрвол блокировал tcp/udp и т.д., но он всё равно умудрялся отвечать на ARP-запросы, из-за чего IP другого клиента становился недоступен. Спасибо!
31.05.2017 09:05:00, BelCloud.]]> http://proxmox.su/forum/messages/forum63/message345045/80151-filtr-arp http://proxmox.su/forum/messages/forum63/message345045/80151-filtr-arp Wed, 31 May 2017 09:05:00 +0300 Proxmox Виртуальная Среда