ip6tables kuralları tamamen OpenVZ kapsayıcısında yok sayılır

9

Köprülü veth cihazları kullanarak openvz üzerinde IPv6 ağı kurduk. VE'lere gelen ve giden IPv6 trafiği iyi çalışıyor.

ip6tables HN üzerinde çalışır ve iptables VE üzerinde çalışır. VE içinde ip6tables kurallarını herhangi bir hata mesajı vermeden ayarlayabiliriz. Ancak tamamen yok sayılırlar.

İp6tables'ın çalışması için hangi ek yapılandırma seçenekleri gereklidir?

ipv6 openvz

— Carsten Thiel
kaynak

7

Bir yapmaya ip6tables -I INPUT -j LOGve paketlerin gerçekten filtrelere çarpıp çarpmadığını görmeye değer olabilir. Öyleyse, filtrelere benzer satırlar eklemeyi deneyin (özellikle beklenen düşüşlerden sonra) ve sistem günlüğüne nelerin kaydedildiğini görün.

— Andy Smith

1

İhtiyacınız olan iptables özelliklerinin vz.conf dosyasında olduğundan emin olun.

— awmusic12635

1

Hizmet başlatıldı mı? Değişikliklerin geçerli olması için yeniden başlatılması gerekiyor mu?

— Xalorous

Kullandığınız iface'nin eski IPv4 iptables'da trafik gördüğünü doğruladınız mı? Belirsiz soyutlama katmanları, sistemde hiçbir şey yapmayan birkaç "yanlış" NIC bırakabilir. İnternet için eth0 ve dahili LAN için eth1 bulunduğunuz günler geride kaldı.

— Zdenek

0

Görünüşe göre konteynerleri proxy altında kullanıyorsunuz, değil mi? Daha sonra proxmox'taki grafiksel arayüzden networkd adreslerinin ince ve PVE tarafından bilinip bilinmediğini kontrol etmelisiniz
. Bazı durumlarda, pve bazı iptables modüllerinin kullanılmasını önler, örneğin:
FATAL: /lib/modules/4.15.18-1- yüklenemedi pve / modules.dep: Böyle bir dosya veya dizin yok

Not: proxmox 5 günü, OpenVZ konteynerler dönüştürülecektir LXC , bu bazı önyargılara neden olabilir

— Fibo
kaynak

-1

Kuralları venet0 arayüzüne açıkça uyguladığınızdan emin olun.

— Scott Mcintyre
kaynak

Hayır! OP açıkça veth kullandığını söyledi. Burada venet0 yok

— Bruno9779 28:16

-2

OpenVZ kapları çekirdeği ve modülleri ana bilgisayar düğümünden devralır. Bu nedenle bir OpenVZ / LXC konteynerine yeni çekirdek modülleri yükleyemezsiniz. Hostnode'un ip6_tablesçekirdek modülünün çekirdeğe derlenmesini veya modül olarak yüklenmesini sağlarım .

Bu bir sorundur, çünkü OpenVZ Paravirtualization, yani ana makine düğümü ile aynı çekirdeği paylaştığı anlamına gelir. Diğer OpenVZ kaplarıyla aynı çekirdeği paylaştığınız için, çekirdeğe modül yükleyemezsiniz. Donanım sanal makineleri ile kendi çekirdeğinizi çalıştırabilir ve daha sonra çekirdek modüllerini yükleyebilir / kaldırabilir veya kullanmak için kendi çekirdeğinizi derleyebilirsiniz. Aşağıda bağlantılı soru, farklılıkları daha ayrıntılı olarak ele almaktadır.

Tam, Para ve Donanım destekli sanallaştırma arasındaki fark nedir?

Ne yazık ki sadece IPv6 Iptables modülü gibi sert biraz olabilir yüklenen olmadığının belirlenmesi Misafir OpenVZ ortamına erişimi varken lsmod, /proc/modulesve /proc/config.gz sık sık OpenVZ içeride yoktur.

Bu nedenle, ana makine düğümünde kök erişimi olan bir kişinin bu çekirdek modülünü sizin için yüklemesi gerekeceğinden, sağlayıcınızla iletişime geçmeniz gerekebilir.

— Vatandaş Kepler
kaynak

Bu, tüm gerçek, ama tamamen ilgisiz: o olduğunu sağlayıcı ve ilgili modüller vardır zaten yüklendi.

— Michael Hampton