Аспро: ЛайтШоп [тема: Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы.]

Аспро: ЛайтШоп [тема: Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы.] http://proxmox.su Новое в теме Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Sat, 06 Jun 2026 16:22:48 +0300 Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ага, понятно. Это то, что нам нужно отловить. Интересно, почему IPv6 вообще оказался в списке протоколов таким образом. Порты не относятся к IPv6, а к базовому протоколу (TCP, UDP), так что это правило должно распознаваться как неправильное.
29.09.2016 15:16:00, wbumiller.]]> http://proxmox.su/forum/messages/forum63/message356650/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356650/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Thu, 29 Sep 2016 15:16:00 +0300 Proxmox Виртуальная Среда Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, wbumiller. Сомневаюсь, что это проблема модуля, я уже давно вижу эту ошибку, обновлял ядро и перезагружался несколько раз. Результат работы команды 'pve-firewall compile' с включённой политикой IPv6 здесь: http://paste.debian.net/844541/ (не могу вставить прямо сюда, слишком большой объём).

Я заметил, что есть два раздела «create PVEFW-HOST-IN» с разными хэш-суммами, когда присутствует политика ip6. А при работе только с ipv4 вторая секция «create» заменяется на «exists». Может, в этом и кроется проблема? Разницу между ipv4-only и ipv4-ipv6 можно посмотреть тут: http://paste.debian.net/844598/

Когда пытаюсь применить политику ipv6, получаю такую ошибку. Код:
root@cactus:~# ip6tables -A PVEFW-HOST-IN -p ipv6 --dport 51413 -j RETURN
ip6tables v1.4.21: неизвестный параметр "--dport"
Попробуйте `ip6tables -h` или `ip6tables --help` для подробностей.
29.09.2016 13:31:00, baptistemm.]]> http://proxmox.su/forum/messages/forum63/message356649/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356649/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Thu, 29 Sep 2016 13:31:00 +0300 Proxmox Виртуальная Среда Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Возможно, какой-то модуль ядра iptables не был загружен, и вы обновили работающий пакет ядра до того, как впервые активировали фаервол? Можете показать результат команды `pve-firewall compile`? И, возможно, вручную применить некоторые из выведенных строк и проверить, не какая ли из них выдаёт ошибку? Например, создать цепочки через `ip6tables -N "name"` и попробовать выполнить строки с ключом `-A`, относящиеся к ipv6, из вывода `pve-firewall compile`, предваряя их командой `ip6tables`.
29.09.2016 09:00:00, wbumiller.]]> http://proxmox.su/forum/messages/forum63/message356648/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356648/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Thu, 29 Sep 2016 09:00:00 +0300 Proxmox Виртуальная Среда Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, продолжаю эту тему, потому что сейчас сталкиваюсь с той же ошибкой и обнаружил, что ни одно из правил iptables, заданных в proxmox, не применяется. pve-firewall compile ошибок не выдает. Буду признателен за любые советы.

П.С. Как отметил автор этой темы, отключение единственного правила для ipv6 (применяемого по всему кластеру) решило проблему. Готов помочь, если кто-то захочет разобраться вместе.
28.09.2016 19:48:00, baptistemm.]]> http://proxmox.su/forum/messages/forum63/message356647/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356647/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Wed, 28 Sep 2016 19:48:00 +0300 Proxmox Виртуальная Среда Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Было бы полезно знать, какое именно правило вызывает эту проблему. Нет общей известной ошибки, которая касалась бы «всех» правил, и я использую правила файрвола для ipv6 на разных машинах без проблем.
21.03.2016 10:13:00, wbumiller.]]> http://proxmox.su/forum/messages/forum63/message356646/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356646/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Mon, 21 Mar 2016 10:13:00 +0300 Proxmox Виртуальная Среда Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Проблема с iptables-restore, из-за которой фаервол может стать непригодным для работы. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет! В последнее время я замечаю такую ошибку в syslog одного из узлов Proxmox:
Код: pve-firewall[1869]: status update error: iptables_restore_cmdlist: Попробуйте `iptables-restore -h` или `iptables-restore --help` для получения дополнительной информации.

Похоже, из-за этой ошибки на узле «ломается» файрвол, потому что ни одно из правил не применяется. На всех узлах одинаковая и актуальная конфигурация.

В чем может быть причина и как исправить, чтобы файрвол снова заработал?

Сама ошибка слишком общее и непонятное описание. Я запускал предложенную команду `iptables-restore -h`, но там лишь показаны доступные опции.
07.03.2016 03:21:00, wahmed.]]> http://proxmox.su/forum/messages/forum63/message356645/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. http://proxmox.su/forum/messages/forum63/message356645/81372-problema-s-iptables_restore_-iz_za-kotoroy-faervol-mozhet-stat-neprigodnym-dlya-raboty. Mon, 07 Mar 2016 03:21:00 +0300 Proxmox Виртуальная Среда