Các quy tắc ip6tables hoàn toàn bị bỏ qua bên trong container OpenVZ


9

Chúng tôi đã thiết lập mạng IPv6 trên openvz bằng các thiết bị veth bắc cầu. Lưu lượng IPv6 đến và từ VE hoạt động tốt.

ip6tables hoạt động trên HN và iptables hoạt động trên VE. Bên trong VE, chúng tôi có thể thiết lập quy tắc ip6tables mà không có bất kỳ thông báo lỗi nào. Họ hoàn toàn bị bỏ qua tuy nhiên.

Những tùy chọn cấu hình bổ sung nào là cần thiết để ip6tables hoạt động?


7
Có thể đáng làm một ip6tables -I INPUT -j LOGvà xem nếu các gói thực sự nhấn bộ lọc. Nếu có, hãy thử thêm các dòng tương tự trong suốt các bộ lọc (đặc biệt là sau bất kỳ lần giảm dự kiến ​​nào) và xem nội dung nào được ghi vào syslog.
Andy Smith

1
Đảm bảo các tính năng iptables bạn yêu cầu có trong tệp vz.conf.
awmusic12635

1
Là dịch vụ bắt đầu? Có cần phải được khởi động lại để những thay đổi có hiệu lực?
Xalious

Bạn có xác minh rằng iface bạn đang sử dụng đang nhìn thấy lưu lượng truy cập trong iptables IPv4 cũ không? Các lớp trừu tượng tối nghĩa có thể để lại một số NIC "sai" trong hệ thống mà dường như không làm gì cả. Đã qua rồi cái thời bạn đơn giản có eth0 cho internet và eth1 cho mạng LAN nội bộ của bạn.
Zdenek

Câu trả lời:


0

Có vẻ bạn đang sử dụng các container theo proxmox, phải không? Sau đó bạn nên kiểm tra từ giao diện đồ họa trong proxmox rằng các địa chỉ networkd cũng tốt và được biết đến bởi PVE
Trong một số trường hợp, ngăn chặn PVE sử dụng một số iptables module, ví dụ như:
Fatal: Could not load /lib/modules/4.15.18-1- pve / Module.dep: Không có tệp hoặc thư mục như vậy

Lưu ý: Trên proxmox 5, các thùng chứa OpenVZ sẽ được chuyển đổi thành LXC , điều này có thể giới thiệu một số sai lệch


-1

Hãy chắc chắn rằng bạn đang áp dụng các quy tắc cho giao diện venet0 một cách rõ ràng.


Không. OP nói rõ ràng rằng anh ấy sử dụng veth. Không có venet0 ở đây
Bruno9779

-2

Các thùng chứa OpenVZ kế thừa kernel và các mô-đun từ nút máy chủ. Do đó, bạn không thể tải các mô-đun hạt nhân mới trong bộ chứa OpenVZ / LXC. Tôi sẽ đảm bảo rằng hostnode có ip6_tablesmô-đun hạt nhân hoặc được biên dịch vào kernel hoặc được tải dưới dạng mô-đun.

Đây là một vấn đề vì OpenVZ là Paravirtualization, có nghĩa là nó chia sẻ cùng một kernel với nút máy chủ. Vì bạn chia sẻ cùng kernel với các thùng chứa OpenVZ khác, bạn không thể tải các mô-đun vào kernel. Với các máy ảo Phần cứng, bạn có thể chạy kernel của riêng mình và sau đó có thể tải / hủy tải các mô-đun hạt nhân hoặc biên dịch kernel của riêng bạn để sử dụng. Câu hỏi liên kết dưới đây bao gồm sự khác biệt chi tiết hơn.

Sự khác biệt giữa ảo hóa hỗ trợ Full, Para và phần cứng là gì?

Đáng buồn là khi bạn chỉ có quyền truy cập vào môi trường Khách OpenVZ xác định nếu các module IPv6 iptables được nạp có thể là một chút khó khăn như lsmod, /proc/modules/proc/config.gz thường không tồn tại bên trong OpenVZ.

Do đó, bạn có thể phải liên hệ với nhà cung cấp của mình vì một người có quyền truy cập root trên nút máy chủ sẽ phải tải mô-đun hạt nhân này cho bạn.


Điều này hoàn toàn đúng, nhưng hoàn toàn không liên quan: anh ta nhà cung cấp và các mô-đun liên quan đã được tải.
Michael Hampton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.