Аспро: ЛайтШоп [тема: Проблема с исходящим трафиком на виртуальной машине]

Проблема с исходящим трафиком на виртуальной машине

Wed, 20 Nov 2019 17:42:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Подтверждаю тот же баг. Когда MAC установлен в Auto, правила в IPset не работают, потому что MAC-адрес меняется каждые 15 секунд. Смотрите вывод ниже, команды выполнялись с интервалом в 5 секунд для одной виртуальной машины на сервере. Если вручную задать MAC, правила ipset начинают работать и для исходящего, и для входящего трафика.

Код:
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:5e:b7:57:bf:3d -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:5e:b7:57:bf:3d -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:5e:b7:57:bf:3d -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:f1:a6:e2:44:18 -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:b6:39:6b:d4:d -j DROP
root@p-9-it:~# ebtables -L | grep 50:
-s ! 50:b6:39:6b:d4:d -j DROP

Код:
Bridge chain: veth2019i0-OUT, entries: 3, policy: ACCEPT
-s ! 50:62:31:f1:bf:6b -j DROP <--- этот MAC меняется
-p ARP -j veth2019i0-OUT-ARP
-j ACCEPT

Bridge chain: veth2019i0-OUT-ARP, entries: 3, policy: ACCEPT
-p ARP --arp-ip-src 176.*.*.* -j RETURN
-p ARP --arp-ip-src 176.*.*.* -j RETURN
-j DROP

Код:
# pveversion -v
proxmox-ve: 6.0-2 (ядро: 5.0.21-5-pve)
pve-manager: 6.0-12 (текущая версия: 6.0-12/0a603350)
pve-kernel-helper: 6.0-12
pve-kernel-5.0: 6.0-11
pve-kernel-5.0.21-5-pve: 5.0.21-10
pve-kernel-5.0.15-1-pve: 5.0.15-1
ceph-fuse: 12.2.11+dfsg1-2.1+b1
corosync: 3.0.2-pve4
criu: 3.11-3
glusterfs-client: 5.5-3
ksm-control-daemon: 1.3-1
libjs-extjs: 6.0.1-10
libknet1: 1.13-pve1
libpve-access-control: 6.0-3
libpve-apiclient-perl: 3.0-2
libpve-common-perl: 6.0-7
libpve-guest-common-perl: 3.0-2
libpve-http-server-perl: 3.0-3
libpve-storage-perl: 6.0-9
libqb0: 1.0.5-1
libspice-server1: 0.14.2-4~pve6+1
lvm2: 2.03.02-pve3
lxc-pve: 3.2.1-1
lxcfs: 3.0.3-pve60
novnc-pve: 1.1.0-1
proxmox-mini-journalreader: 1.1-1
proxmox-widget-toolkit: 2.0-8
pve-cluster: 6.0-7
pve-container: 3.0-10
pve-docs: 6.0-8
pve-edk2-firmware: 2.20190614-1
pve-firewall: 4.0-7
pve-firmware: 3.0-4
pve-ha-manager: 3.0-3
pve-i18n: 2.0-3
pve-qemu-kvm: 4.0.1-5
pve-xtermjs: 3.13.2-1
qemu-server: 6.0-13
smartmontools: 7.0-pve2
spiceterm: 3.1-1
vncterm: 1.6-1
zfsutils-linux: 0.8.2-pve2
20.11.2019 17:42:00, bzl.

Проблема с исходящим трафиком на виртуальной машине

Tue, 19 Nov 2019 16:56:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Могу подтвердить баг, о котором @LMC писал в предыдущем посте, у меня была такая же проблема. @Richard @dietmar может показаться, что это ерунда, но на самом деле нет — я не мог использовать свой FW на последней версии, пока не погуглил решение. Спасибо!
19.11.2019 16:56:00, ned.

Проблема с исходящим трафиком на виртуальной машине

Tue, 19 Nov 2019 02:14:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Одно, что я только что заметил в PVE 6 (последняя версия, обновлён с PVE 5) — при создании контейнера, если оставить "MAC-адрес" на автомате, он сгенерирует MAC при запуске контейнера, но как только включаешь файрвол на этом контейнере, даже если задаёшь правила для исходящего трафика, он никак не выходит во внешний мир, работают только заданные входящие правила. Как только в настройках сети вручную прописываешь MAC-адрес, всё начинает работать. Думаю, это какой-то баг...
19.11.2019 02:14:00, LMC.

Проблема с исходящим трафиком на виртуальной машине

Sat, 02 Nov 2019 20:24:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Извиняюсь за то, что поднимаю тему снова, но у меня точно такая же проблема. Ты как-то смог это «починить» или сделал какие-то выводы?
02.11.2019 20:24:00, aljaxus.

Проблема с исходящим трафиком на виртуальной машине

Tue, 28 May 2019 20:26:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У меня возникла проблема именно с исходящим трафиком с одной ВМ. Оказалось, что в настройках фаервола на уровне ВМ была включена опция «IP Filtering». Я её отключил, и исходящий трафик снова пошёл. Из документации: Стандартный IP набор ipfilter-net* Эти фильтры привязаны к сетевому интерфейсу ВМ и используются в основном для предотвращения подмены IP-адресов. Если для интерфейса есть такой набор, то любой исходящий трафик с исходным IP, не соответствующим ipfilter-набору этого интерфейса, будет сбрасываться. Для контейнеров с настроенными IP-адресами такие наборы, если они существуют (или активируются через общую опцию IP Filter во вкладке настроек фаервола ВМ), автоматически содержат связанные IP-адреса. Для виртуальных машин и контейнеров они также автоматически включают стандартный MAC-адрес, преобразованный в IPv6 link-local адрес, чтобы обеспечить работу протокола обнаружения соседей.
28.05.2019 20:26:00, bcmike.

Проблема с исходящим трафиком на виртуальной машине

Fri, 18 Jan 2019 20:07:00 +0300

Проблема с исходящим трафиком на виртуальной машине Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет! Будучи новичком в Proxmox, для участников форума это, наверное, элементарно, но всё же. Я активировал файрволл на уровне дата-центра с настройками по умолчанию: входящие DROP, исходящие ACCEPT. Далее включил файрволл на одной из ВМ с такими же настройками: входящие DROP, исходящие ACCEPT. Настроил входящие правила, например, 3000 ACCEPT, 2055 ACCEPT (да, это ntopng). Всё отлично работает для локальной сети и другой домашней сети (я задал алиасы с CIDR-нотацией на уровне дата-центра и использую их для определения правил входящего трафика).

Однако весь исходящий трафик, похоже, блокируется: не могу пропинговать другую машину в подсети, apt-get upgrade не запускается, а DNS зависает, поскольку ntop на веб-консоли не разрешает IP-адреса. Отключение файрволла на ВМ не помогает, помогает только отключение файрволла на уровне дата-центра, но это логично, ведь тогда файрволл вообще не работает.

Я, по наивности, думал, что правило исходящего ACCEPT позволит любой исходящий трафик с ВМ, тем более что на уровне дата-центра тоже стоит исходящий ACCEPT. Очевидно, я что-то делаю не так? Честно говоря, я не трогал файрволл кластера — там вроде бы нет дефолтных правил DROP / исходящий ACCEPT, или стоит их задать? Спасибо. С уважением, Марк.
18.01.2019 20:07:00, MarkKnaap.