Skonfigurowaliśmy sieć IPv6 na openvz za pomocą zmostkowanych urządzeń veth. Ruch IPv6 do i z VE działa dobrze.
ip6tables działa na HN, a iptables na VE. Wewnątrz VE możemy skonfigurować reguły ip6tables bez komunikatów o błędach. Są jednak całkowicie ignorowane.
Jakie dodatkowe opcje konfiguracji są niezbędne do działania ip6tables?
ip6tables -I INPUT -j LOG
i sprawdzić, czy pakiety rzeczywiście trafiają w filtry. Jeśli tak, spróbuj dodać podobne wiersze w filtrach (szczególnie po spodziewanych spadkach) i zobacz, co zostanie zarejestrowane w syslog.Odpowiedzi:
Wygląda na to, że używasz pojemników pod proxy, prawda? Następnie powinieneś sprawdzić z interfejsu graficznego w proxmox, czy adresy sieciowe są poprawne i znane przez PVE.
W niektórych przypadkach pve uniemożliwia korzystanie z niektórych modułów iptables, np .:
FATAL: Nie można załadować /lib/modules/4.15.18-1- pve / modules.dep: Brak takiego pliku lub katalogu
Uwaga: W proxy 5, kontenery OpenVZ zostaną przekonwertowane na LXC , co może wprowadzić pewne odchylenie
źródło
Upewnij się, że stosujesz reguły bezpośrednio do interfejsu venet0.
źródło
Kontenery OpenVZ dziedziczą jądro i moduły z węzła hosta. Z tego powodu nie można załadować nowych modułów jądra do kontenera OpenVZ / LXC. Chciałbym upewnić się, że węzeł hosta ma
ip6_tables
moduł jądra albo skompilowany w jądrze, albo załadowany jako moduł.Jest to problem, ponieważ OpenVZ jest parawirtualizacją, co oznacza, że dzieli to samo jądro z węzłem hosta. Ponieważ dzielisz to samo jądro z innymi kontenerami OpenVZ, nie możesz ładować modułów do jądra. Za pomocą sprzętowych maszyn wirtualnych możesz uruchomić własne jądro, a następnie ładować / zwalniać moduły jądra lub skompilować własne jądro do użycia. Poniższe pytanie obejmuje różnice bardziej szczegółowo.
Jaka jest różnica między wirtualizacją wspomaganą pełną, parą i sprzętową?
Niestety, gdy masz dostęp do środowiska gości OpenVZ określającej, czy moduł jest załadowany IPtables IPv6 może być trochę trudne, jak tylko
lsmod
,/proc/modules
i/proc/config.gz
często nie istnieją wewnątrz OpenVZ.Z tego powodu może być konieczne skontaktowanie się z dostawcą, ponieważ osoba z dostępem do katalogu głównego w węźle hosta będzie musiała załadować ten moduł jądra za Ciebie.
źródło