Zasady ip6tables są całkowicie ignorowane w kontenerze OpenVZ

9

Skonfigurowaliśmy sieć IPv6 na openvz za pomocą zmostkowanych urządzeń veth. Ruch IPv6 do i z VE działa dobrze.

ip6tables działa na HN, a iptables na VE. Wewnątrz VE możemy skonfigurować reguły ip6tables bez komunikatów o błędach. Są jednak całkowicie ignorowane.

Jakie dodatkowe opcje konfiguracji są niezbędne do działania ip6tables?

Carsten Thiel
źródło
7
Może warto to zrobić ip6tables -I INPUT -j LOGi sprawdzić, czy pakiety rzeczywiście trafiają w filtry. Jeśli tak, spróbuj dodać podobne wiersze w filtrach (szczególnie po spodziewanych spadkach) i zobacz, co zostanie zarejestrowane w syslog.
Andy Smith
1
Upewnij się, że wymagane funkcje iptables znajdują się w pliku vz.conf.
awmusic12635
1
Czy usługa została uruchomiona? Czy konieczne jest ponowne uruchomienie, aby zmiany odniosły skutek?
Xalorous,
Czy sprawdziłeś, że używany przez ciebie iface widzi ruch w starych iptables IPv4? Niewyraźne warstwy abstrakcji mogą pozostawić w systemie kilka „niewłaściwych” kart sieciowych, które pozornie nic nie robią. Dawno minęły czasy, kiedy po prostu miałeś eth0 dla Internetu i eth1 dla wewnętrznej sieci LAN.
Zdenek

Odpowiedzi:

0

Wygląda na to, że używasz pojemników pod proxy, prawda? Następnie powinieneś sprawdzić z interfejsu graficznego w proxmox, czy adresy sieciowe są poprawne i znane przez PVE.
W niektórych przypadkach pve uniemożliwia korzystanie z niektórych modułów iptables, np .:
FATAL: Nie można załadować /lib/modules/4.15.18-1- pve / modules.dep: Brak takiego pliku lub katalogu

Uwaga: W proxy 5, kontenery OpenVZ zostaną przekonwertowane na LXC , co może wprowadzić pewne odchylenie

Fibo
źródło
-1

Upewnij się, że stosujesz reguły bezpośrednio do interfejsu venet0.

Scott Mcintyre
źródło
Nie. OP powiedział wyraźnie, że używa veth. Nie ma tutaj venet0
Bruno9779,
-2

Kontenery OpenVZ dziedziczą jądro i moduły z węzła hosta. Z tego powodu nie można załadować nowych modułów jądra do kontenera OpenVZ / LXC. Chciałbym upewnić się, że węzeł hosta ma ip6_tablesmoduł jądra albo skompilowany w jądrze, albo załadowany jako moduł.

Jest to problem, ponieważ OpenVZ jest parawirtualizacją, co oznacza, że ​​dzieli to samo jądro z węzłem hosta. Ponieważ dzielisz to samo jądro z innymi kontenerami OpenVZ, nie możesz ładować modułów do jądra. Za pomocą sprzętowych maszyn wirtualnych możesz uruchomić własne jądro, a następnie ładować / zwalniać moduły jądra lub skompilować własne jądro do użycia. Poniższe pytanie obejmuje różnice bardziej szczegółowo.

Jaka jest różnica między wirtualizacją wspomaganą pełną, parą i sprzętową?

Niestety, gdy masz dostęp do środowiska gości OpenVZ określającej, czy moduł jest załadowany IPtables IPv6 może być trochę trudne, jak tylko lsmod, /proc/modulesi /proc/config.gz często nie istnieją wewnątrz OpenVZ.

Z tego powodu może być konieczne skontaktowanie się z dostawcą, ponieważ osoba z dostępem do katalogu głównego w węźle hosta będzie musiała załadować ten moduł jądra za Ciebie.

Citizen Kepler
źródło
To wszystko prawda, ale całkowicie nieistotne: to on jest dostawcą, a odpowiednie moduły są już załadowane.
Michael Hampton,