http://proxmox.su Новое в теме Межсетевой экран не работает правильно. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Thu, 04 Jun 2026 06:03:29 +0300 Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, у меня небольшой вопрос: как настроить pve-firewall, чтобы он запускался при загрузке?
05.12.2014 13:00:00, mstsas.]]> http://proxmox.su/forum/messages/forum63/message356884/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356884/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Fri, 05 Dec 2014 13:00:00 +0300 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Да, поддержка IPv6 должна быть готова к следующему релизу Proxmox.
17.11.2014 09:42:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message356883/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356883/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Mon, 17 Nov 2014 09:42:00 +0300 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Дорогой tempelfield, PVE-Firewall работает нормально, но только если у тебя не включён контейнер с IPv6 — иначе из-за бага фаервол просто не будет работать! Так что нужно через SSH проверить командой vzlist -a -o ctid,ip | grep ':' этот список, чтобы сверить с содержимым директории /etc/pve/firewall. Если в первом списке есть контейнер с IPv6, то файл, например, 123.fw, либо не существует, либо фаервол не будет работать! Если ты сделаешь копию, например, 123.fw в 246.fw и внутри будет IPv6, а потом перезапустишь фаервол командой pve-firewall stop pve-firewall start или service pve-firewall restart — проверь это через iptables -L -n. Если вывод всего 3-6 стандартных строк, значит PVE-Firewall не работает! В таком случае удали из /etc/pve/firewall контейнеры с IPv6 и перезапусти фаервол!

Ладно, теперь дальше:

A. Открой SSH-терминал, чтобы всегда был вариант выключить фаервол — иначе может не получиться продолжать работу и придётся делать сложные шаги! Нужно установить параметры фаервола три раза:

В Datacenter:
INPUT-Policy: ACCEPT  
OUTPUT-Policy: ACCEPT  
проверь, что настройки корректны — это важно!  
Теперь включи фаервол!

На хосте в Smurfs-Filter и TCP-Flag-Filters: ставь YES  
nf_* ставь в default  
*log* — в nolog  
Снова включи фаервол!

В контейнере: убедись, что в сетевых настройках нет IPv6!!!  
Параметры:  
INPUT-POLICY: ACCEPT  
OUTPUT-POLICY: ACCEPT  
остальное стандартно  
проверь, что настройки верны, прежде чем включать фаервол!  
Включи фаервол для контейнера!

Отлично, теперь проверим, как работает фаервол: в SSH набери iptables -L и если видишь много правил — значит, фаервол работает!

Далее заблокируем входящий IP для контейнеров или хоста:

В настройках Datacenter: Firewall — опускаемся вниз и используем IPSets.  
Слева в IPSets для Datacenter нажми ADD, создай новый IPSet под названием blacklist и сохрани.  
Кликни слева на созданный IPSet, перейди справа и добавь IP, который хочешь заблокировать, например, IP контейнера, хоста или другого контейнера с отдельным IP (лучше публичным).  
Будь внимателен, не выбирай "nomatch"!!!

Проверь, что теперь с этого IP нельзя выполнить ping на хост или другие контейнеры! Если есть возможность, проверь это с внешнего IP. Увидишь, фаервол работает отлично! Таким образом все IP из blacklist блокируются на всех контейнерах и хосте, если фаервол включён, и теперь можно приступать к созданию собственной системы безопасности!

Чтобы посмотреть в SSH, набери iptables -L -n — увидишь много правил, а ipset list покажет IP всех ipset'ов (например, тот, что мы заблокировали в blacklist). Для подробностей используй man ipset!

Надеюсь, это поможет!  
Detlef
16.11.2014 22:20:00, Virtualizer.]]> http://proxmox.su/forum/messages/forum63/message356882/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356882/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Sun, 16 Nov 2014 22:20:00 +0300 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, Virtualizer. У меня такая же проблема. Брандмауэр неправильно обрабатывает пинг. Как ты настроил брандмауэр, чтобы он работал нормально? Спасибо. С наилучшими пожеланиями.
10.11.2014 10:59:00, tempelfeld.]]> http://proxmox.su/forum/messages/forum63/message356881/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356881/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Mon, 10 Nov 2014 10:59:00 +0300 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Межсетевой экран теперь работает правильно. Документация по нему, конечно, практически отсутствует!
26.10.2014 14:09:00, Virtualizer.]]> http://proxmox.su/forum/messages/forum63/message356880/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356880/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Sun, 26 Oct 2014 14:09:00 +0300 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Приветственное напоминание
22.10.2014 00:17:00, Virtualizer.]]> http://proxmox.su/forum/messages/forum63/message356879/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356879/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Wed, 22 Oct 2014 00:17:00 +0400 Proxmox Виртуальная Среда Межсетевой экран не работает правильно. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Дорогие, документация по файерволу — полное разочарование! Я провёл кучу тестов и так и не смог понять, почему всё работает неправильно! Во-первых, хост — это выделенный сервер в OVH. Он работает через IP по MAC на eth0, который подключён к vmbr0! У нас нет никаких кластеров! В конфигурации Proxmox-Datacenter только этот один хост!

a) Я включил файервол в Datacenter и на самом хосте! И сразу после этого перестала работать связь между Proxmox GUI и настройками файервола! По умолчанию при обновлениях в Datacenter стоит Input-Policy DROP. Если я меняю режим файервола на 0 напрямую в cluster.fs, то интерфейс GUI снова умеет работать с настройками! Множество других тестов тоже провалились!

b) Я добавил правило, разрешающее пинг с операционного центра на хост. В такой настройке пинг не проходит, вне зависимости от того, использую я eth0 или vmbr0, с протоколом icmp и правилом ACCEPT.

c) Хорошо, теперь я поставил в Datacenter стандартную настройку — Input-Policy ACCEPT — и создал правило, блокирующее пинг с другого компьютера снаружи на IP этого хоста. Правило включено, но пинг всё равно проходит. Пофиг, какой интерфейс — net0, eth0 или vmbr0 — пинги идут без проблем! Правила можно ставить и в Datacenter, и на хосте — результат всегда одинаковый! Да, файервол включен, iptables -L показывает настройки правил, а статус pve-firewall говорит, что всё работает без ошибок!

d) Я протестировал то же правило DROP пинга с IP из контейнера на хост, с интерфейсом eth0 или vmbr0 в настройках правила. Пинг всё равно проходит, правила не сбрасывают запросы.

В документации написано, что интерфейс net0 — это логический интерфейс, который используется только при кластерах? Может, файервол работает неправильно, когда трафик идёт через MAC?

С уважением, Detlef
01.10.2014 11:10:00, Virtualizer.]]> http://proxmox.su/forum/messages/forum63/message356878/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. http://proxmox.su/forum/messages/forum63/message356878/81396-mezhsetevoy-ekran-ne-rabotaet-pravilno. Wed, 01 Oct 2014 11:10:00 +0400 Proxmox Виртуальная Среда