http://proxmox.su Новое в теме отличия на уровне файрвола форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Sat, 13 Jun 2026 13:48:25 +0300 отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Кто-нибудь, поддержите мой вопрос, пожалуйста?
25.04.2016 21:35:00, 5t3f4n.]]> http://proxmox.su/forum/messages/forum63/message356565/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356565/81363-otlichiya-na-urovne-fayrvola Mon, 25 Apr 2016 21:35:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Понравилась статья, nbeam — отличный материал! Вопрос в том, применимы ли описанные шаги из вашей статьи к Proxmox VE 3.4? Спрашиваю конкретно, нужно ли мне исключать порты 111 и 85 из базовой группы безопасности, так как в версии 3.4 они не используются по умолчанию:

Список портов Proxmox VE 4.x и выше:  
Веб-интерфейс: 8006  
pvedaemon (слушает только на 127.0.0.1): 85  
VNC веб-консоль: 5900–5999  
SPICE proxy: 3128  
sshd (используется для кластерных операций): 22  
rpcbind: 111  
multicast corosync (если используется кластер): 5404, 5405 UDP  

Список портов Proxmox VE 3.x:  
Веб-интерфейс: 8006  
VNC веб-консоль: 5900–5999  
SPICE консоль: 3128  
SSH доступ (опционально): 22  
multicast CMAN (если используется кластер): 5404, 5405 UDP  

Спасибо!
16.04.2016 22:15:00, 5t3f4n.]]> http://proxmox.su/forum/messages/forum63/message356564/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356564/81363-otlichiya-na-urovne-fayrvola Sat, 16 Apr 2016 22:15:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет! Судя по тому, что я видел (смотрел финальные правила, сгенерированные iptables — используя iptables-save, как советуется в документации), правила, которые применяются к контейнерам, — это правила FORWARD (на уровне хоста). А цепочка FORWARD по умолчанию принимает весь трафик. Возможно, поэтому правила DC и хоста (INPUT и OUTPUT) не действуют на контейнер. Значит, добавлять своё правило для порта 8080 не нужно.

Добавление файрвола — действительно отличный шаг со стороны команды Proxmox. Для тех, кто раньше ничего не использовал, включить его было несложно (хуже уже не могло быть). Но для тех, кто пользовался чем-то другим, нужно лучше понимать, какие сервисы предоставляет файрвол Proxmox и как он работает, прежде чем менять предыдущую систему. А документация в этом плане особо не помогает. Там есть хорошие подсказки, как его активировать, но информации о том, КАК он работает, недостаточно. Мне тоже пришлось провести много тестов, чтобы выяснить, как это всё функционирует — и я до сих пор не понял всех стандартных правил, которые применяются тут и там (и которые в документации не описаны). В любом случае, это отличный инструмент, который заслуживает более подробной документации.

Хаким
11.04.2016 09:32:00, hakim.]]> http://proxmox.su/forum/messages/forum63/message356563/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356563/81363-otlichiya-na-urovne-fayrvola Mon, 11 Apr 2016 09:32:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я написал длинный пост по этой теме, потому что мне совершенно запутался в настройках фаервола, и плюс один к идее добавить больше документации на Wiki. Вики как будто говорит, что правила каскадируют вплоть до контейнеров и ВМ, но это точно не так. Огромное спасибо wbumiller за пояснение, что правила фаервола на уровне Datacenter каскадируют только до NODES и не дальше! Теперь многое становится понятнее относительно того, что я видел.

Я написал длинную статью про настройку фаервола в Proxmox 4 (админы, если посты с внешними ссылками запрещены — прошу удалить, извиняюсь, я много времени потратил на это и не хотел переделывать заново). http://www.kiloroot.com/secure-prox...d-more-how-to-configure-from-start-to-finish/  
Там есть и разговор про IPv6, что может быть актуально, а может и нет. В статье я подробно описал свой подход.

По поводу комментария vigilian:  
«Можем ли мы представить, что datacenter — это хост-машина, а node — виртуальная концепция сущности? Тогда только если связать несколько нод вместе, фаервол ноды должен использовать только эти правила?»  
Я думаю, ответ — НЕТ, это неправильное понимание. Proxmox создан для кластеров, так что у вас может быть несколько NODE в вашем Datacenter. NODE — это физическая машина, а Datacenter — просто «организационная единица» или «корзина», в которой лежат ноды.

Поэтому лучше всего думать так, исходя из слов wbumiller: вы хотите, чтобы некоторые правила применялись ко всем вашим физическим нодам постоянно. Например, чтобы был открыт порт 8006, и, если вы используете кластеризацию, чтобы были открыты соответствующие порты кластера. Такие правила вы настраиваете на уровне DC, и они «каскадируют» на все ноды, чтобы не дублировать их на каждой отдельно.

Однако, как так любезно указал wbumiller (и это должно быть ясно изложено в Wiki), ВМ и контейнеры — это отдельные острова. Их фаерволы, насколько я понимаю, никак не зависят от настроек на уровнях DC и NODE. Нужно относиться к ним именно так.

Где начинается неразбериха — это NAT и проброс портов. Если вы используете проброс портов для контейнера, возможно, придется настроить правила фаервола на уровне NODE или DC, разрешающие доступ к публичной стороне проброса NAT. Например, у меня есть контейнер с Apache, который запускает сайт на порту 80 внутри контейнера. На хосте есть NAT-правило, которое пробрасывает, скажем, порт 8080 моего публичного IP на порт 80 контейнера. В такой ситуации, возможно, нужно правило на уровне DC или NODE, разрешающее доступ к порту 8080. Кто-то, комментируя мою статью, сказал, что это не так, и мы немного размышляли, почему.

В общем, надеюсь, что мои размышления вам помогут — я пару дней боролся с этим фаерволом и понимаю всех, кто столкнулся с тем же. Удачи и всего хорошего!
10.04.2016 20:47:00, nbeam.]]> http://proxmox.su/forum/messages/forum63/message356562/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356562/81363-otlichiya-na-urovne-fayrvola Sun, 10 Apr 2016 20:47:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, Вольфганг! Эта информация действительно важна и заслуживает нескольких строк в документации по файерволу с порядком их применения. Спасибо, что объяснил, Хаким.
09.04.2016 13:08:00, hakim.]]> http://proxmox.su/forum/messages/forum63/message356561/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356561/81363-otlichiya-na-urovne-fayrvola Sat, 09 Apr 2016 13:08:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Можем ли мы представить, что дата-центр — это хост-машина, а узел — виртуальная концепция сущности? Тогда только если связать несколько узлов вместе, брандмауэр узла должен использовать только эти правила?
08.03.2016 23:33:00, vigilian.]]> http://proxmox.su/forum/messages/forum63/message356560/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356560/81363-otlichiya-na-urovne-fayrvola Tue, 08 Mar 2016 23:33:00 +0300 Proxmox Виртуальная Среда отличия на уровне файрвола Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, я новичок в этом и хотел бы узнать, в чём разница между уровнями файрвола в Proxmox? Например, между уровнем центра обработки данных и узла?
23.10.2015 08:37:00, vigilian.]]> http://proxmox.su/forum/messages/forum63/message356559/81363-otlichiya-na-urovne-fayrvola http://proxmox.su/forum/messages/forum63/message356559/81363-otlichiya-na-urovne-fayrvola Fri, 23 Oct 2015 08:37:00 +0300 Proxmox Виртуальная Среда