Le regole di ip6tables sono completamente ignorate all'interno del contenitore OpenVZ

9

Abbiamo configurato la rete IPv6 su openvz utilizzando dispositivi veth con bridge. Il traffico IPv6 da e verso i VE funziona correttamente.

ip6tables funziona su HN e iptables funziona su VE. All'interno del VE possiamo impostare le regole ip6tables senza alcun messaggio di errore. Sono comunque completamente ignorati.

Quali opzioni di configurazione aggiuntive sono necessarie per il funzionamento di ip6tables?

ipv6  openvz 
Carsten Thiel
fonte
7
Potrebbe valere la pena fare un ip6tables -I INPUT -j LOGe vedere se i pacchetti stanno effettivamente colpendo i filtri. In tal caso, prova ad aggiungere linee simili in tutti i filtri (in particolare dopo eventuali rilasci previsti) e vedi cosa viene registrato su syslog.
Andy Smith,
1
Assicurarsi che le funzionalità di iptables richieste siano nel file vz.conf.
awmusic12635
1
Il servizio è stato avviato? È necessario riavviare per rendere effettive le modifiche?
Xalorous,
Hai verificato che l'iface che stai utilizzando rileva traffico nelle vecchie iptabili IPv4? Gli strati di astrazione oscuri possono lasciare nel sistema diverse schede di rete "errate" che apparentemente non fanno nulla. Sono finiti i giorni in cui avevi semplicemente eth0 per internet e eth1 per la tua LAN interna.
Zdenek,

Risposte:

0

Sembra che tu stia usando i contenitori sotto proxmox, giusto? Dovresti quindi controllare dall'interfaccia grafica in proxmox che gli indirizzi di rete siano corretti e conosciuti da PVE
In alcuni casi, pve impedisce di usare alcuni moduli iptables, ad esempio:
FATAL: Impossibile caricare /lib/modules/4.15.18-1- pve / modules.dep: nessun file o directory

Nota: su proxmox 5, i contenitori OpenVZ verranno convertiti in LXC , questo potrebbe introdurre un errore

Fibo
fonte
-1

Assicurati di applicare le regole all'interfaccia venet0 esplicitamente.

Scott Mcintyre
fonte
No. OP ha detto esplicitamente di usare veth. No venet0 qui
Bruno9779,
-2

I contenitori OpenVZ ereditano il kernel e i moduli dal nodo host. Per questo motivo non è possibile caricare nuovi moduli del kernel in un contenitore OpenVZ / LXC. Vorrei assicurarmi che l'hostnode abbia il ip6_tablesmodulo del kernel compilato nel kernel o caricato come modulo.

Questo è un problema perché OpenVZ è Paravirtualization, nel senso che condivide lo stesso kernel con il nodo host. Poiché condividi lo stesso kernel degli altri contenitori OpenVZ, non puoi caricare moduli nel kernel. Con le macchine virtuali hardware è possibile eseguire il proprio kernel e quindi caricare / scaricare i moduli del kernel o compilare il proprio kernel da utilizzare. La domanda collegata di seguito copre le differenze in modo più dettagliato.

Qual è la differenza tra virtualizzazione assistita Full, Para e Hardware?

Purtroppo quando si hanno solo accesso all'ambiente Giudizi OpenVZ determinare se il modulo IPv6 IPtables viene caricato può essere un po 'difficile, come lsmod, /proc/modulese /proc/config.gz spesso non esistono all'interno OpenVZ.

Per questo motivo, potresti dover semplicemente contattare il tuo provider poiché qualcuno con accesso root sul nodo host dovrà caricare questo modulo del kernel per te.

Citizen Kepler
fonte
Questo è tutto vero, ma completamente irrilevante: è il provider e i moduli pertinenti sono già caricati.
Michael Hampton,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.