<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
	<channel>
		<title>Аспро: ЛайтШоп [тема: Правила IPTables для каждой гостевой виртуальной машины]</title>
		<link>http://proxmox.su</link>
		<description>Новое в теме Правила IPTables для каждой гостевой виртуальной машины форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su]</description>
		<language>ru</language>
		<docs>http://backend.userland.com/rss2</docs>
		<pubDate>Sun, 05 Jul 2026 01:01:29 +0300</pubDate>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366111/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Не стоит преждевременно оптимизировать, и гипервизор — это не ваш файрвол, и никогда им не должен быть. Когда делаешь файрвол для всех, то с большими хостинг-компаниями, которые используют привязку по MAC, делать это проще — я уже прошёл через это и получил шрамы. Фаервол решил все проблемы разом, чем управлять этим на всех VM/LXC, и у вас сразу есть «естественный» балансировщик нагрузки, который можно запустить, а ещё в придачу появится разделение восток-запад. Только когда этот файрвол (а тут я имею в виду количество ядер, необходимых для обработки угроз из сети с логированием и прочими задачами CISO/SecOpsDev) превысит по нагрузке ядра гипервизора, стоит заново посмотреть на вопрос производительности. <br />
			<i>04.01.2023 08:52:00, hvisage.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366111/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366111/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Wed, 04 Jan 2023 08:52:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366110/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Возможно, ты удивишься, но если проблема действительно в производительности, тогда настрой nftables на LXC/VM самостоятельно. <br />
			<i>04.01.2023 08:46:00, hvisage.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366110/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366110/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Wed, 04 Jan 2023 08:46:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366109/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Поскольку использование одной виртуальной машины с pfSense для множества ВМ — это не лучшее решение, она не справится с таким количеством пакетов в секунду при атаке. Если бы это был отдельный выделенный сервер только для pfSense — тогда да. <br />
			<i>03.01.2023 05:34:00, Mecanik.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366109/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366109/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Tue, 03 Jan 2023 05:34:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366108/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Почему бы не поставить файрвол (например, pfSense) между интернетом и VM/LXC? Так можно даже выделить каждой VM свою VLAN/сеть и получить «приличный» графический интерфейс/WebUI для нужной фильтрации. Фаервол PVE для такого рода фильтрации не предназначен — он скорее для грубых ограничений, а не для тонкой настройки сетевых ACL. <br />
			<i>02.01.2023 15:35:00, hvisage.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366108/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366108/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Mon, 02 Jan 2023 15:35:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366107/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Короткое обновление: мне удалось сделать ровно то, что было нужно. Можно добавить правила для каждого гостя и делать всё, что необходимо. <br />
			<i>31.12.2022 08:02:00, Mecanik.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366107/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366107/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Sat, 31 Dec 2022 08:02:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
		<item>
			<title>Правила IPTables для каждой гостевой виртуальной машины</title>
			<description><![CDATA[<b><a href="http://proxmox.su/forum/messages/forum63/message366106/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny">Правила IPTables для каждой гостевой виртуальной машины</a></b> <i>Proxmox Виртуальная Среда</i> в форуме <a href="http://proxmox.su/forum/forum63/">Proxmox Виртуальная Среда</a>. <br />
			Привет! После того как я просмотрел немало статей здесь и на других сайтах, мне всё ещё непонятно, как можно добавить собственные правила IPTables для каждой виртуальной машины отдельно. Сейчас на хосте с одной виртуалкой я вижу такие правила:<br /><br />Bash:<br />-A tap100i0-IN -p udp -m udp --sport 67 --dport 68 -j ACCEPT &nbsp;<br />-A tap100i0-IN -p tcp -m tcp --dport 3389 -j ACCEPT &nbsp;<br />-A tap100i0-IN -j PVEFW-Drop &nbsp;<br />-A tap100i0-IN -m limit --limit 1/sec -j NFLOG --nflog-prefix ":100:2:tap100i0-IN: policy DROP: " &nbsp;<br />-A tap100i0-IN -j DROP &nbsp;<br />-A tap100i0-IN -m comment --comment "PVESIG:X9me+QsGh3gkShtIhRe+kX6u6C8" &nbsp;<br />-A tap100i0-OUT -p udp -m udp --sport 68 --dport 67 -g PVEFW-SET-ACCEPT-MARK &nbsp;<br />-A tap100i0-OUT -m mac ! --mac-source 02:00:00:b8:c0:61 -j DROP &nbsp;<br />-A tap100i0-OUT -m set ! --match-set PVEFW-100-ipfilter-net0-v4 src -j DROP &nbsp;<br />-A tap100i0-OUT -j MARK --set-xmark 0x0/0x80000000 &nbsp;<br />-A tap100i0-OUT -g PVEFW-SET-ACCEPT-MARK &nbsp;<br />-A tap100i0-OUT -m comment --comment "PVESIG:B7SW/N0NBq1SWwxVvMqCv/VauJA"<br /><br />Собственно, вопрос: как добавить правила именно для каждой виртуальной машины? Например, я хотел бы для одной конкретной ВМ добавить:<br /><br />C: /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP<br /><br />И для других виртуалок сделать свои отдельные правила. Подскажите, пожалуйста. Спасибо! <br />
			<i>08.11.2022 05:50:00, Mecanik.</i>]]></description>
			<link>http://proxmox.su/forum/messages/forum63/message366106/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</link>
			<guid>http://proxmox.su/forum/messages/forum63/message366106/82353-pravila-iptables-dlya-kazhdoy-gostevoy-virtualnoy-mashiny</guid>
			<pubDate>Tue, 08 Nov 2022 05:50:00 +0300</pubDate>
			<category>Proxmox Виртуальная Среда</category>
		</item>
	</channel>
</rss>
