Аспро: ЛайтШоп [тема: Проблема с VNet Firewall]

Проблема с VNet Firewall

Tue, 18 Mar 2025 15:36:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Цепочка FORWARD — это часть обычного сетевого стека Linux, см. [1]. Здесь нет ничего специфичного для Proxmox. Обычно это тот трафик, который приходит на хост через интерфейс, но не маршрутизируется самому хосту, а перенаправляется дальше (либо на виртуальную машину, либо на другой хост). [1] https://wiki.nftables.org/wiki-nfta...lter_hooks_into_Linux_networking_packet_flows
18.03.2025 15:36:00, shanreich.

Проблема с VNet Firewall

Tue, 18 Mar 2025 15:28:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Окей, спасибо. Спасибо. Спасибо... Подтверждаю, что размещение правила FORWARD/DROP на уровне DC, а затем правил FORWARD/ACCEPT выше, решает эту задачу. Конечно, я не уверен, не блокируется ли при этом какой-то другой трафик, который обычно проходит через цепочку FORWARD? Не знаю, как бы мне узнать, какой трафик Proxmox обычно помещает в эту цепочку FORWARD.
18.03.2025 15:28:00, AlexBaldwin.

Проблема с VNet Firewall

Tue, 18 Mar 2025 14:54:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вы можете установить политику по умолчанию на уровне хоста в режим "drop" и разрешать только конкретные потоки, которые хотите пропускать, но учтите, что это также нарушит трафик, выходящий наружу (например, если у вас есть простая зона, которая выполняет NAT для трафика, то этот трафик тоже будет сбрасываться). Если у вас есть тестовая среда и вы можете экспериментировать как угодно, то дерзайте и пробуйте, но я бы не советовал делать это в рабочем кластере без полного понимания всех последствий.
18.03.2025 14:54:00, shanreich.

Проблема с VNet Firewall

Tue, 18 Mar 2025 14:03:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо, да, использую eVPN. При включённом DC FW, без правил на хосте, с опцией firewall для vNET в режиме Forward policy, установленной на drop, и выключенном fw на виртуальной машине, мои пинги всё равно проходят. По умолчанию разрешается весь трафик между VNET? Я приложил правила FW для этого теста. Я проверил, что если поставить правила FORWARD/DROP на уровне хоста или DC, то трафик блокируется, но разве не должен быть по умолчанию запрет (implicit Deny) между VNET?
18.03.2025 14:03:00, AlexBaldwin.

Проблема с VNet Firewall

Tue, 18 Mar 2025 09:57:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Настройка должна быть включена, если вы хотите использовать любую часть файрвола — это как глобальный выключатель для файрвола. Файрвол в датацентре — это правила для *всех* хостов кластера, поэтому они применяются ко всем хостам в кластере. Он предназначен для установки правил для ВМ — зависит от того, чего вы хотите добиться. Если хотите создать конкретные правила для одной ВМ, то надо включать его для этой ВМ. Можно сделать это и на уровне файрвола VNet, но это может быть немного сложнее. Всё зависит от ваших целей. Если хотите защитить входящий трафик к хосту, тогда включайте. Файрвол VNet отвечает за весь трафик внутри моста — это всё, что идёт с одного интерфейса моста на другой, внутри одного и того же моста — любые комбинации хост/гость. Но основное применение — конечно, между гостями <-> гостями. Если вы используете хост как шлюз для этого VNet (Simple или EVPN зона), то перенаправляемый трафик не будет пойман файрволом VNet (он действует только на трафик *внутри* этого VNet). Правила нужно создавать в цепочке forward на хосте. Изменения применяются почти сразу (~10 секунд). Иногда, если уже есть установленные соединения, для них в системе есть запись в conntracking, и трафик проходит несмотря ни на что. Чтобы быть уверенным, можно сбросить таблицу conntrack, но учтите — это убьёт почти все состояние соединений на хосте, поэтому не советую делать это на продакшене. Либо одно, либо другое: nftables — это новая реализация, которая сейчас в превью. В ней будет больше функций, и она планируется как дефолтный файрвол в будущих релизах после того, как получит достаточную популярность. Какой тип зоны у вас? Думаю, EVPN? Для трафика, который хост пересылает (когда он действует как роутер), надо создавать правила в цепочке forward на хосте. Если трафик идёт из одного VNet в другой, это именно такой случай. Цепочка forward работает в обе стороны — нужно разрешать трафик *в обоих* направлениях, недостаточно разрешить только в одну сторону, иначе ответы не пройдут. ICMP нужно включать отдельно от TCP, ведь это разные протоколы.
18.03.2025 09:57:00, shanreich.

Проблема с VNet Firewall

Mon, 17 Mar 2025 13:54:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я могу это сделать, но, возможно, будет продуктивнее помочь мне понять, как должны быть настроены фаерволы на разных уровнях, чтобы достичь того, что я хочу. Надеюсь в будущем использовать возможности SDN для продакшн-мультиарендного дата-центра. Я настроил eVPN, и, похоже, это работает — обеспечивает связь между всеми арендаторами (vNET) внутри кластера. Однако обычно мы хотим, чтобы все арендаторы по умолчанию были изолированы друг от друга фаерволом и разрешали связь между собой только в редких случаях по конкретному правилу фаервола.

Арендаторы обычно имеют доступ в интернет, но обычно мы делаем NAT на физическом фаерволе (я рассматриваю возможность использования SNAT на Proxmox, но пока не решил по этому поводу). Судя по всей документации, что я читал, я не уверен, как настроить всё описанное выше. Я пробовал разные варианты, но так и не добился нужной мне связности.

Что должно быть задано на фаерволе в DC? Что на фаерволе виртуальных машин? (Идеально было бы отключить его и управлять трафиком из одного центрального GUI, чтобы не искать правила на каждую ВМ отдельно.) Что с фаерволом на хостах? Что с фаерволом на VNET? Что нужно сделать, чтобы изменения правил фаервола на любом из уровней вступили в силу — перезагрузка, 10 секунд ожидания, сразу? Полностью ли NfTables заменяет iptables в этом, или оба фаервола работают одновременно?

Мой тестовый сценарий такой: я настроил два VNET — TESTC1 и TESTC2, каждый с одной условной подсетью и одной Windows-виртуальной машиной в каждом. Создал правило фаервола VNET, разрешающее им общаться, но только по TCP, чтобы проверить, могу ли я точно контролировать трафик между VNET через ICMP и TCP. Где-то читал, что фаервол VNET контролирует только трафик внутри VNET, а для связи между ними нужны правила на хостах, так что попробовал и так. Результат обычно либо весь трафик пропускается, либо никакой.

Поэтому хочу сделать шаг назад и выйти на ситуацию, в которой всё должно работать, чтобы потом уже разбираться с проблемами.

Спасибо за внимание.
17.03.2025 13:54:00, AlexBaldwin.

Проблема с VNet Firewall

Mon, 17 Mar 2025 08:56:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Можешь выложить свою конфигурацию SDN, а также правила файрвола для своих VNets:
Код:
cat /etc/network/interfaces.d/sdn
cat /etc/pve/sdn/firewall/*.fw
cat /etc/pve/firewall/cluster.fw
cat /etc/pve/local/host.fw

Было бы также интересно узнать, какой трафик проходит через файрвол.
17.03.2025 08:56:00, shanreich.

Проблема с VNet Firewall

Fri, 14 Mar 2025 22:10:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У меня тоже похожая проблема — не могу ограничить доступ между VNET, независимо от того, куда ставлю правила. Я тоже использую nftables.
14.03.2025 22:10:00, AlexBaldwin.

Проблема с VNet Firewall

Tue, 18 Mar 2025 14:37:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо. Есть ли способ настроить пересылку между VNET так, чтобы по умолчанию пакеты блокировались, а не приходилось создавать правила блокировки для каждого клиента с каждым клиентом (это слишком много правил)?
18.03.2025 14:37:00, AlexBaldwin.

Проблема с VNet Firewall

Tue, 18 Mar 2025 14:31:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Нет, на уровне хоста также есть политика переадресации, которая по умолчанию стоит на ACCEPT. Если вы пингуете из одной VNet в другую VNet, то трафик маршрутизируется хостом PVE, и вам нужно создать правила переадресации в файрволе хоста. Трафик внутри одной VNet использует файрвол самой VNet, а трафик, идущий из одной VNet в другую, проходит по цепочке переадресации на хосте, потому что именно хост маршрутизирует этот трафик.
18.03.2025 14:31:00, shanreich.

Проблема с VNet Firewall

Sat, 23 Nov 2024 19:50:00 +0300

Проблема с VNet Firewall Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Всем привет! Сейчас хочу попробовать функцию SDN и бесплатный VNet Firewall. Пока SDN вроде работает отлично, но VNet Firewall не блокирует трафик. Конкретная проблема: у меня определены 2 SDN VNet — VMNet и mgmNet. Я хочу управлять ВМ из VMNet через mgmNet, но при этом трафик в mgmNet должен быть заблокирован.

Проблема в том, что я могу пинговать ВМ в mgmNet с моей VMNet LXC.

Конфигурация такая: обе сети находятся в одной зоне, в обеих включена изоляция портов, и активен файервол на базе nftables. Я перезапустил все виртуальные машины, чтобы применить новый (на основе nftables) файервол. При этом заметил, что старые правила файервола, которые я делал через iptables, больше не работают.

Я пытался заблокировать трафик, используя и CIDR подсети, и предопределённые алиасы. Но при этом получаю ошибку, что файервол не может найти мои алиасы. Похоже, что ни текущие правила, ни алиасы не перенеслись при переходе на nftables.

В общем: не могу запустить VNet Firewall.
23.11.2024 19:50:00, Don_Sandman.