กฎ ip6tables จะถูกละเว้นอย่างสมบูรณ์ภายในคอนเทนเนอร์ OpenVZ

9

เราได้ตั้งค่าเครือข่าย IPv6 บน openvz โดยใช้อุปกรณ์ bridged veth การรับส่งข้อมูล IPv6 ไปและกลับจาก VE ทำงานได้ดี

ip6tables ทำงานบน HN และ iptables ทำงานบน VE ภายใน VE เราสามารถตั้งค่ากฎ ip6tables โดยไม่มีข้อความแสดงข้อผิดพลาด พวกเขาจะถูกละเว้นอย่างสมบูรณ์อย่างไรก็ตาม

ตัวเลือกการกำหนดค่าเพิ่มเติมใด ๆ ที่จำเป็นสำหรับ ip6tables ในการทำงาน

ipv6 openvz

— Carsten Thiel
แหล่งที่มา

7

อาจจะคุ้มค่าที่จะทำip6tables -I INPUT -j LOGและดูว่าแพ็คเก็ตจริงๆแล้วกดปุ่มฟิลเตอร์ หากเป็นเช่นนั้นให้ลองเพิ่มบรรทัดที่คล้ายกันลงในตัวกรอง (โดยเฉพาะอย่างยิ่งหลังจากหยดที่คาดไว้) และดูสิ่งที่บันทึกไว้ใน syslog

— Andy Smith

1

ตรวจสอบให้แน่ใจว่าคุณสมบัติ iptables ที่คุณต้องการอยู่ในไฟล์ vz.conf

— awmusic12635

1

บริการเริ่มขึ้นหรือไม่ จำเป็นต้องเริ่มต้นใหม่เพื่อให้การเปลี่ยนแปลงมีผลหรือไม่

— Xalorous

คุณยืนยันว่า iface ที่คุณใช้นั้นเห็นการรับส่งข้อมูลใน iptables IPv4 เก่าหรือไม่ เลเยอร์สิ่งที่เป็นนามธรรมที่ไม่ชัดเจนสามารถปล่อยนิคส์ "ผิด" หลายตัวในระบบที่ดูเหมือนจะไม่ทำอะไรเลย ไปเป็นวันที่คุณเพิ่งมี eth0 สำหรับอินเทอร์เน็ตและ eth1 สำหรับ LAN ภายในของคุณ

— Zdenek

0

ดูเหมือนว่าคุณกำลังใช้ภาชนะบรรจุภายใต้พร็อกซีดอกใช่ไหม? จากนั้นคุณควรตรวจสอบจากส่วนต่อประสานกราฟิกใน proxmox ว่าที่อยู่ networkd นั้นใช้ได้และเป็นที่รู้จักโดย PVE
ในบางกรณี pve ป้องกันไม่ให้ใช้โมดูล iptables บางโมดูลเช่น:
FATAL: ไม่สามารถโหลด /lib/modules/4.15.18-1- pve / modules.dep: ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว

หมายเหตุ:บน proxmox 5 คอนเทนเนอร์OpenVZจะถูกแปลงเป็นLXCสิ่งนี้อาจแนะนำอคติบางอย่าง

— Fibo
แหล่งที่มา

-1

ตรวจสอบให้แน่ใจว่าคุณใช้กฎกับอินเตอร์เฟส venet0 โดยชัดเจน

— Scott Mcintyre
แหล่งที่มา

Nope OP กล่าวอย่างชัดเจนว่าเขาใช้สัตวแพทย์ ไม่มี venet0 ที่นี่

— Bruno9779

-2

คอนเทนเนอร์ OpenVZ สืบทอดเคอร์เนลและโมดูลจากโหนดโฮสต์ ด้วยเหตุนี้คุณจึงไม่สามารถโหลดโมดูลเคอร์เนลใหม่ในคอนเทนเนอร์ OpenVZ / LXC ฉันจะให้แน่ใจว่า hostnode มีip6_tablesโมดูลเคอร์เนลเรียบเรียงเป็นเคอร์เนลหรือโหลดเป็นโมดูล

นี่เป็นปัญหาเนื่องจาก OpenVZ คือ Paravirtualization ซึ่งหมายความว่าจะแชร์เคอร์เนลเดียวกันกับโหนดโฮสต์ เนื่องจากคุณแชร์เคอร์เนลเดียวกันกับคอนเทนเนอร์ OpenVZ อื่นคุณจึงไม่สามารถโหลดโมดูลลงในเคอร์เนลได้ ด้วยฮาร์ดแวร์เครื่องเสมือนคุณจะสามารถใช้เคอร์เนลของคุณเองและจากนั้นสามารถโหลด / ยกเลิกการโหลดโมดูลเคอร์เนลหรือคอมไพล์เคอร์เนลของคุณเองเพื่อใช้ คำถามที่เชื่อมโยงด้านล่างครอบคลุมความแตกต่างในรายละเอียดเพิ่มเติม

การจำลองเสมือนแบบ Full, Para และฮาร์ดแวร์ต่างกันอย่างไร

น่าเศร้าเมื่อคุณมีสิทธิ์เข้าถึงสภาพแวดล้อม Guest OpenVZ ซึ่งกำหนดว่าโหลดโมดูล IPv6 IPtables ได้ยากlsmodหรือ/proc/modulesไม่และ/proc/config.gz บ่อยครั้งไม่มีอยู่ใน OpenVZ

ด้วยเหตุนี้คุณอาจต้องติดต่อผู้ให้บริการของคุณในฐานะคนที่มีการเข้าถึงรูทบนโหนดโฮสต์จะต้องโหลดโมดูลเคอร์เนลนี้ให้คุณ

— พลเมืองเคปเลอร์
แหล่งที่มา

ทั้งหมดนี้เป็นความจริง แต่ไม่เกี่ยวข้องอย่างสมบูรณ์: เขาเป็นผู้ให้บริการและโมดูลที่เกี่ยวข้องได้ถูกโหลดไว้แล้ว

— Michael Hampton