Hi,
ich schaue mir gerade die in Proxmox VE integrierte Firewall genauer an. Diese hätte durchaus einige Vorteil ggü. einer manuellen Konfiguration außerhalb von PVE.
Was ich bisher verstanden habe: Wenn ich die Pakete in der FORWARD Chain ebenfalls filtern möchte, muss ich "nftables" in den Einstellungen aktivieren. Das funktioniert prinzipiell auch.
Was ich aber noch nicht geschafft habe: Wie ich den Traffic zwischen verschiedenen Bridges selektiv oder für einzelne VMs freigeben kann, wenn die Default Regel auf DROP geändert wird! Hierbei komme ich aktuell nicht weiter, es wird permanent alles blockiert. Hat dafür vielleicht irgendjemand Tipps oder ein funktionierendes Beispiel? Im Moment bin ich soweit, dass ich auf die PVE-Firewall verzichte und das notgedrungen manuell mit iptables-persistent/netfilter-persistent löse…
Ausgangslage für mein Test-Setup:
ich schaue mir gerade die in Proxmox VE integrierte Firewall genauer an. Diese hätte durchaus einige Vorteil ggü. einer manuellen Konfiguration außerhalb von PVE.
Was ich bisher verstanden habe: Wenn ich die Pakete in der FORWARD Chain ebenfalls filtern möchte, muss ich "nftables" in den Einstellungen aktivieren. Das funktioniert prinzipiell auch.
Was ich aber noch nicht geschafft habe: Wie ich den Traffic zwischen verschiedenen Bridges selektiv oder für einzelne VMs freigeben kann, wenn die Default Regel auf DROP geändert wird! Hierbei komme ich aktuell nicht weiter, es wird permanent alles blockiert. Hat dafür vielleicht irgendjemand Tipps oder ein funktionierendes Beispiel? Im Moment bin ich soweit, dass ich auf die PVE-Firewall verzichte und das notgedrungen manuell mit iptables-persistent/netfilter-persistent löse…
Ausgangslage für mein Test-Setup:
- vmbr0: NAT zum bzw. vom WAN.
- vmbr1: Bridge für einige VMs, die keine Einschränkungen haben.
- vmbr2: Bridge für VMs, deren Traffic größtenteils gefiltert werden soll.
- vmbr3: Bridge für VMs, die nur intern erreichbar sein sollen.
(Und zwischenzeitlich sowieso keine Zeit für Experimente.)