Правила ip6tables повністю ігноруються всередині контейнера OpenVZ

9

Ми налаштували мережу IPv6 на openvz за допомогою мостових пристроїв veth. Трафік IPv6 до та від VE працює чудово.

ip6tables працює на HN, а iptables працює на VE. Всередині VE ми можемо налаштувати правила ip6tables без повідомлень про помилки. Однак вони повністю ігноруються.

Які додаткові параметри конфігурації необхідні для роботи ip6tables?

ipv6  openvz 
Карстен Тіль
джерело
7
Можливо, варто зробити ip6tables -I INPUT -j LOGі побачити, чи пакети насправді потрапляють у фільтри. Якщо вони є, спробуйте додати подібні рядки у фільтри (особливо після будь-яких очікуваних падінь) і побачити, що потрапляє до системи.
Енді Сміт
1
Переконайтеся, що потрібні функції iptables знаходяться у файлі vz.conf.
awmusic12635
1
Чи розпочато обслуговування? Чи потрібно її перезапустити, щоб зміни набрали чинності?
Xalorous
Ви переконалися, що iface, який ви використовуєте, бачить трафік у старих iptables IPv4? Неясні шари абстракції можуть залишити в системі кілька "неправильних" НІК, які, здавалося б, нічого не роблять. Пройшли дні, коли у вас просто був eth0 для Інтернету та eth1 для вашої внутрішньої локальної мережі.
Зденек

Відповіді:

0

Здається, ви використовуєте контейнери під проксі, так? Потім слід переконатися в графічному інтерфейсі в proxmox, що мережеві адреси чужі та відомі PVE.
У деяких випадках pve заважає використовувати деякі модулі iptables, наприклад:
FATAL: Не вдалося завантажити /lib/modules/4.15.18-1- pve / module.dep: Немає такого файлу чи каталогу

Примітка. На проксіx 5, контейнери OpenVZ будуть перетворені на LXC , це може ввести деякі зміщення

Фібо
джерело
-1

Переконайтесь, що ви чітко застосовуєте правила до інтерфейсу venet0.

Скотт Макінтір
джерело
Ні. ОП прямо сказав, що він використовує veth. Тут немає venet0
Bruno9779
-2

Контейнери OpenVZ успадковують ядро ​​та модулі від вузла хоста. Через це ви не можете завантажувати нові модулі ядра в контейнер OpenVZ / LXC. Я б переконався, що у хостового вузла є ip6_tablesмодуль ядра або зібраний у ядро, або завантажений як модуль.

Це проблема, тому що OpenVZ - це паравіртуалізація, це означає, що вона має одне і те ж ядро ​​з вузлом хоста. Оскільки ви поділяєте те саме ядро, що й інші контейнери OpenVZ, ви не можете завантажувати модулі в ядро. За допомогою апаратних віртуальних машин ви можете запустити власне ядро, а потім можете завантажувати / вивантажувати модулі ядра або компілювати власне ядро ​​для використання. Питання, пов'язане нижче, детальніше розглядає відмінності.

Чим відрізняється віртуалізація, яка підтримується Full, Para та Hardware?

До жаль , коли у вас є доступ до середовища Guest OpenVZ , що визначає , якщо завантажений модуль IPv6 IPtables може бути трохи важко , як тільки lsmod, /proc/modulesі /proc/config.gz часто не існує всередині OpenVZ.

Через це вам, можливо, доведеться просто звернутися до свого постачальника, оскільки хтось із кореневим доступом до вузла хоста повинен буде завантажити цей модуль ядра для вас.

Громадянин Кеплер
джерело
Це все правда, але абсолютно не має значення: він є постачальником і відповідні модулі вже завантажені.
Майкл Хемптон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.