Como aplicar regras de firewall proxmox às VMs?

2

Este é o meu cenário atual:

Eu tenho um servidor proxmox na nuvem. Eu instalei 2 VMs, que têm IPs diferentes (não na mesma sub-rede que o servidor proxmox principal - veja ISSO para entender por que ).

Na própria máquina do proxmox, configurei uma lista de regras do iptables que funcionam perfeitamente.

# Allow localhostinterface
/sbin/iptables -A INPUT -i lo -j ACCEPT

#icmp
/sbin/iptables -A INPUT -p ICMP -j ACCEPT

#home network
/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT

# Allow already established connections
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Set default policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

#LOG IPTABLES
/sbin/iptables -N LOGGING
/sbin/iptables -A INPUT -j LOGGING
/sbin/iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
/sbin/iptables -A LOGGING -j DROP

No entanto, por algum motivo, essas regras não se aplicam às máquinas virtuais, que estão em estado natural sem nenhuma segurança. Existe uma maneira de aplicar as mesmas regras válidas no servidor proxmox para o vms?

    
por Aaron Ullal 07.09.2016 / 16:45

2 respostas

1

Eu tive exatamente o mesmo problema esta manhã, então eu também encontrei sua pergunta.

De acordo com esta documentação , só podemos definir regras para toda a VM usando um firewall PVE, criando um grupo de segurança com regras globais para todas as máquinas, em seguida, adicionando-o a todas as VMs no nó. Dessa forma, depois que o grupo de segurança é modificado, as alterações afetarão todas as VMs que o utilizam.

Acho um pouco inconveniente, porque acho que qualquer regra definida em /etc/pve/nodes/<nodename>/host.fw deve afetar sua VM também, já que já existe uma zona de sobreposição chamada 'Datacenter' (ou 'cluster', já que as regras em /etc/pve/firewall/cluster.fw aparecem exatamente na seção do Datacenter da GUI) e também suspeito que seja um problema de arquitetura, que será corrigido / modificado no futuro próximo.

    
por 17.09.2016 / 03:36
0

A Documentação do firewall diz:

Enabling the Firewall for VMs and Containers

Each virtual network device has its own firewall enable flag. So you can selectively enable the firewall for each interface. This is required in addition to the general firewall enable option.

The firewall requires a special network device setup, so you need to restart the VM/container after enabling the firewall on a network interface.

Então, supondo que você já tenha feito o seguinte:

  1. você ativou o firewall para o datacenter e a VM [ou container] (a ativação do firewall para o nó não é necessária)

... você ainda precisa executar estas etapas:

  1. ative o firewall para dispositivo de rede virtual da VM : na interface da Web, navegue até a VM Network config, abra o pop-up Edit do dispositivo (por exemplo, net0 ) e ative a caixa de seleção Firewall
  2. reinicie a VM

(Solução encontrada aqui .)

    
por 14.05.2018 / 17:05