Search results

Hi, I am running Debian Bullseye with proxmox 7. When creating a VM with a tagged interface everything works fine. Untagged traffic gets lost on the PVE Machine, even though PVE-FORWARD all any any is hit. FW Disabled on Host and VM Level. iptables FORWARD chain was set to policy DROP, setting...

Das werde ich bei gelegenheit mal genauer durchsehen. Habe als Workaround ein Networkdevice via PCI Passthrough reingeschliffen und terminiere direkt auf einem Switch.

# Completed on Tue Feb 16 13:23:35 2021 # Generated by iptables-save v1.8.2 on Tue Feb 16 13:23:35 2021 *filter :INPUT ACCEPT [12940:3056050] :FORWARD ACCEPT [497779:130532424] :OUTPUT ACCEPT [475:35844] :PVEFW-Drop - [0:0] :PVEFW-DropBroadcast - [0:0] :PVEFW-FORWARD - [0:0] :PVEFW-FWBR-IN -...

@fabian VM FW Config zur VM 112: [OPTIONS] policy_in: ACCEPT enable: 1 log_level_out: debug macfilter: 0 ipfilter: 0 dhcp: 0 log_level_in: debug [RULES] |OUT ACCEPT -i net1 -log debug |IN ACCEPT -i net1 -log debug pve-firewall compile: ipset cmdlist: exists PVEFW-0-management-v4...

Was ich noch vergessen habe zu erwähnen, ist dass das Interface der VM auf einer Bridge terminiert.

Schau dir entweder pve-firewall compile oder iptables an, dann findest du es.

In der Gui config stehen sie nicht, die werden von pve generiert, je nach dem was du in der gui wählst. Bestes beispiel ist der Mac Filter. Wenn du ihn in der Ui wählst wird die korrespondierende Zeile generiert, -A tap112i1-OUT -m mac ! --mac-source ...

So wie ich das verstanden habe werden für jedes Netzwerkdevice ein Tap device generiert. Hier verweist Tap112i1 auf Tap der VM 112, Interface 1. Es sind keine Regeln in der FW vorhanden! Ausser Accept All!! Somit brauch ich da nix erstellen wenns leer ist.

gerne nochmal: 112 7 tap112i1-OUT 12/Feb/2021:16:31:43 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19891 DF PROTO=TCP SPT=34430 DPT=22 SEQ=2086869302...

ja mac filter ist aus

umgekehrt, passt schon so. zuerst destination, dann source, dann frame type

was ist der rest rundherum? auf der IN Chain wird nichts geloggt. mac-filter ist aus.

112 7 tap112i1-OUT 12/Feb/2021:16:17:28 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=33845 DF PROTO=TCP SPT=34404 DPT=22 SEQ=3786708343 ACK=0...

Hab den Macfilter auch noch weggenommen.

weder noch.

exists tap112i1-IN (F8SD1truu+3VhsbTQOESYGz04io) -A tap112i1-IN -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT -A tap112i1-IN -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT -A tap112i1-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT -A...

So siehts aus: [OPTIONS] ipfilter: 1 log_level_in: debug dhcp: 0 enable: 1 policy_in: ACCEPT log_level_out: debug macfilter: 1 [RULES] OUT ACCEPT -i net1 -log debug IN ACCEPT -i net1 -log debug

Hallo, habe eine VM, die ein Interface hat und mit nem Vlan tag versieht. Bridge ist Vlan aware, alles funktioniert. Wenn ich die Firewall für das Interface aktiviere wird jeglicher Traffic gedroppt obwohl alle Policies auf ACCEPT gestellt sind und die Firewall durchgängig sowohl für den...