Les règles ip6tables sont complètement ignorées dans le conteneur OpenVZ

9

Nous avons mis en place un réseau IPv6 sur openvz à l'aide de périphériques Veth pontés. Le trafic IPv6 à destination et en provenance des VE fonctionne correctement.

ip6tables fonctionne sur le HN et iptables fonctionne sur le VE. À l'intérieur du VE, nous pouvons configurer des règles ip6tables sans aucun message d'erreur. Ils sont cependant complètement ignorés.

Quelles options de configuration supplémentaires sont nécessaires pour que ip6tables fonctionne?

ipv6 openvz Carsten Thiel
la source
7
Cela pourrait valoir la peine de le faire ip6tables -I INPUT -j LOGet de voir si les paquets atteignent réellement les filtres. Si tel est le cas, essayez d'ajouter des lignes similaires dans les filtres (en particulier après toute baisse attendue) et voyez ce qui est consigné dans syslog.
Andy Smith
1
Assurez-vous que les fonctionnalités iptables dont vous avez besoin se trouvent dans le fichier vz.conf.
awmusic12635
1
Le service est-il démarré? Doit-il être redémarré pour que les modifications prennent effet?
Xalorous
Avez-vous vérifié que l'iface que vous utilisez détecte du trafic dans les anciens iptables IPv4? Des couches d'abstraction obscures peuvent laisser plusieurs «NIC» incorrectes dans le système qui ne semblent rien faire. Il est révolu le temps où vous aviez simplement eth0 pour Internet et eth1 pour votre LAN interne.
Zdenek

Réponses:

0

Semble que vous utilisez les conteneurs sous proxmox, non? Vous devriez ensuite vérifier à partir de l'interface graphique dans proxmox que les adresses networkd sont correctes et connues par PVE
Dans certains cas, pve empêche d'utiliser certains modules iptables, par exemple:
FATAL: Impossible de charger /lib/modules/4.15.18-1- pve / modules.dep: Aucun fichier ou répertoire de ce type

Remarque: Sur proxmox 5, les conteneurs OpenVZ seront convertis en LXC , cela pourrait introduire un certain biais

Fibo
la source
-1

Assurez-vous d'appliquer explicitement les règles à l'interface venet0.

Scott Mcintyre
la source
Nan. OP a déclaré explicitement qu'il utilise veth. Pas de venet0 ici
Bruno9779
-2

Les conteneurs OpenVZ héritent du noyau et des modules du nœud hôte. Pour cette raison, vous ne pouvez pas charger de nouveaux modules du noyau dans un conteneur OpenVZ / LXC. Je m'assurerais que le nœud hôte a le ip6_tablesmodule du noyau soit compilé dans le noyau ou chargé en tant que module.

Il s'agit d'un problème car OpenVZ est la paravirtualisation, ce qui signifie qu'il partage le même noyau avec le nœud hôte. Parce que vous partagez le même noyau que les autres conteneurs OpenVZ, vous ne pouvez pas charger de modules dans le noyau. Avec les machines virtuelles matérielles, vous pouvez exécuter votre propre noyau et pouvez ensuite charger / décharger les modules du noyau, ou compiler votre propre noyau à utiliser. La question liée ci-dessous couvre les différences plus en détail.

Quelle est la différence entre la virtualisation assistée complète, para et matérielle?

Malheureusement , quand vous avez seulement accès à l'environnement invité OpenVZ déterminer si le module iptables IPv6 est chargé peut être un peu dur comme lsmod, /proc/moduleset /proc/config.gz souvent n'existent pas à l' intérieur OpenVZ.

Pour cette raison, vous devrez peut-être simplement contacter votre fournisseur car une personne disposant d'un accès root sur le nœud hôte devra charger ce module du noyau pour vous.

Citizen Kepler
la source
Tout cela est vrai, mais complètement hors de propos: il est le fournisseur et les modules concernés sont déjà chargés.
Michael Hampton