Правила ip6tables полностью игнорируются внутри контейнера OpenVZ

9

Мы настроили сеть IPv6 на openvz с использованием мостовых устройств. Трафик IPv6 к виртуальным средам и обратно работает нормально.

ip6tables работает на HN, а iptables работает на VE. Внутри VE мы можем настроить правила ip6tables без каких-либо сообщений об ошибках. Однако они полностью игнорируются.

Какие дополнительные параметры конфигурации необходимы для работы ip6tables?

ipv6 openvz

— Карстен Тиль
источник

7

Возможно, стоит попробовать ip6tables -I INPUT -j LOGи посмотреть, действительно ли пакеты попадают в фильтры. Если это так, попробуйте добавить похожие строки в фильтры (особенно после любых ожидаемых падений) и посмотрите, что записывается в системный журнал.

— Энди Смит

1

Убедитесь, что требуемые функции iptables находятся в файле vz.conf.

— awmusic12635

1

Служба запущена? Нужно ли перезапускать, чтобы изменения вступили в силу?

— Ксалори

Вы убедились, что используемый вами iface видит трафик в старых iptables IPv4? Непонятные уровни абстракции могут оставить в системе несколько «неправильных» сетевых карт, которые, похоже, ничего не делают. Прошли те времена, когда у вас просто был eth0 для интернета и eth1 для внутренней сети.

— Зденек

0

Кажется, вы используете контейнеры в Proxmox, верно? Затем вы должны проверить через графический интерфейс Proxmox, что сетевые адреса в порядке и известны PVE.
В некоторых случаях pve не позволяет использовать некоторые модули iptables, например:
FATAL: Не удалось загрузить /lib/modules/4.15.18-1- pve / modules.dep: нет такого файла или каталога

Примечание. На Proxmox 5 контейнеры OpenVZ будут преобразованы в LXC , это может привести к некоторому смещению.

— Fibo
источник

-1

Убедитесь, что вы применяете правила к интерфейсу venet0 явно.

— Скотт Макинтайр
источник

Нет. OP прямо сказал, что он использует veth. Здесь нет venet0

— Bruno9779

-2

Контейнеры OpenVZ наследуют ядро и модули от хост-узла. Из-за этого вы не можете загружать новые модули ядра в контейнер OpenVZ / LXC. Я хотел бы убедиться, что на hostnode есть ip6_tablesмодуль ядра, либо скомпилированный в ядро, либо загруженный как модуль.

Это проблема, потому что OpenVZ является паравиртуализацией, что означает, что он разделяет одно и то же ядро с узлом хоста. Поскольку вы используете то же ядро, что и другие контейнеры OpenVZ, вы не можете загружать модули в ядро. С аппаратными виртуальными машинами вы можете запускать собственное ядро и затем загружать / выгружать модули ядра или компилировать собственное ядро для использования. Приведенный ниже вопрос охватывает различия более подробно.

В чем разница между Full, Para и аппаратной виртуализацией?

К сожалению , когда у вас есть доступ к среде Guest OpenVZ , определяющей , если загружен модуль IPv6 IPtables может быть немного трудно , как только lsmod, /proc/modulesи /proc/config.gz часто не существует внутри OpenVZ.

Из-за этого вам, возможно, придется просто связаться с вашим провайдером, так как кто-то с корневым доступом на узле хоста должен будет загрузить этот модуль ядра для вас.

— Гражданин Кеплер
источник

Это все верно, но совершенно не имеет значения: он является поставщиком, и соответствующие модули уже загружены.

— Майкл Хэмптон