Aturan ip6tables diabaikan sepenuhnya di dalam wadah OpenVZ

9

Kami telah mengatur jaringan IPv6 di openvz menggunakan perangkat brideth veth. Lalu lintas IPv6 ke dan dari VE berfungsi dengan baik.

ip6tables berfungsi pada HN dan iptables bekerja pada VE. Di dalam VE kita bisa mengatur aturan ip6tables tanpa pesan kesalahan. Namun mereka sepenuhnya diabaikan.

Opsi konfigurasi tambahan apa yang diperlukan agar ip6tables dapat berfungsi?

Carsten Thiel
sumber
7
Mungkin layak dilakukan ip6tables -I INPUT -j LOGdan melihat apakah paket benar-benar mengenai filter. Jika ya, coba tambahkan baris serupa di seluruh filter (terutama setelah setiap tetes yang diharapkan) dan lihat apa yang masuk ke syslog.
Andy Smith
1
Pastikan fitur iptables yang Anda butuhkan ada di file vz.conf.
awmusic12635
1
Apakah layanan sudah dimulai? Apakah perlu dimulai ulang agar perubahan diterapkan?
Xalorous
Apakah Anda memverifikasi bahwa iface yang Anda gunakan melihat lalu lintas di iptables IPv4 lama? Lapisan abstraksi yang tidak jelas dapat meninggalkan beberapa NIC "salah" dalam sistem yang tampaknya tidak melakukan apa-apa. Lewat sudah hari-hari ketika Anda hanya memiliki eth0 untuk internet dan eth1 untuk LAN internal Anda.
Zdenek

Jawaban:

0

Sepertinya Anda menggunakan wadah di bawah proxmox, bukan? Anda kemudian harus memeriksa dari antarmuka grafis di proxmox bahwa alamat networkd baik dan dikenal oleh PVE
Dalam beberapa kasus, pve mencegah untuk menggunakan beberapa modul iptables, misalnya:
FATAL: Tidak dapat memuat /lib/modules/4.15.18-1- pve / modules.dep: Tidak ada file atau direktori tersebut

Catatan: Pada proxmox 5, wadah OpenVZ akan dikonversi ke LXC , ini mungkin menimbulkan beberapa bias

Fibo
sumber
-1

Pastikan Anda menerapkan aturan ke antarmuka venet0 secara eksplisit.

Scott Mcintyre
sumber
Nggak. OP mengatakan secara eksplisit bahwa dia menggunakan veth. Tidak ada venet0 di sini
Bruno9779
-2

Kontainer OpenVZ mewarisi kernel dan modul dari node host. Karena itu, Anda tidak dapat memuat modul kernel baru dalam wadah OpenVZ / LXC. Saya akan memastikan bahwa hostnode memiliki ip6_tablesmodul kernel yang dikompilasi ke dalam kernel atau dimuat sebagai modul.

Ini adalah masalah karena OpenVZ adalah Paravirtualization, artinya OpenVZ berbagi kernel yang sama dengan node host. Karena Anda berbagi kernel yang sama dengan wadah OpenVZ lainnya, Anda tidak dapat memuat modul ke dalam kernel. Dengan mesin virtual Hardware Anda dapat menjalankan kernel Anda sendiri dan kemudian dapat memuat / membongkar modul kernel, atau mengkompilasi kernel Anda sendiri untuk digunakan. Pertanyaan yang ditautkan di bawah ini mencakup perbedaan lebih detail.

Apa perbedaan antara virtualisasi penuh, Para, dan Perangkat Keras?

Sayangnya ketika Anda hanya memiliki akses ke lingkungan Tamu OpenVZ menentukan apakah modul IPv6 Iptables dimuat dapat sedikit keras seperti lsmod, /proc/modules, dan /proc/config.gz sering tidak ada di dalam OpenVZ.

Karena itu, Anda mungkin harus menghubungi penyedia Anda karena seseorang dengan akses root pada node host harus memuat modul kernel ini untuk Anda.

Warga Negara Kepler
sumber
Ini semua benar, tetapi sama sekali tidak relevan: ia adalah penyedia dan modul yang relevan sudah dimuat.
Michael Hampton