[SOLVED] Container Firewall

goeldi

Renowned Member
Dec 6, 2012
28
1
68
Ich hab in der GUI für einen LXC Container folgende Firewall Einstellungen vorgenommen:


fw1.png

In Options stehen Firewall, DHCP, NDP und MAC filter auf Yes, Router Advertisement und IP filter stehen auf No.

Gemäss obiger Liste müsste ich bei einem SSH Loginversuch einen Reject erhalten, kann aber einloggen.

Irgendwas scheine ich zu übersehen. Hat mir jemand einen Tipp?
 
hi,

ist die firewall aktiviert fuer den CT? CT -> Firewall -> Options muss 'Yes' sein.
 
Ja, Firewall ist aktiviert. Ich hab noch weiter experimentiert und habe widersprüchliche Symptome.

Bei einem Container, Firewall aktiviert, habe ich out DROP und in DROP gesetzt und so wie's sein soll ging nix mehr raus und rein (z.B. apt update).
Dann hab ich out ACCEPT Web aktiviert und apt update ging wieder.
Da hatte es also funktioniert (Ubuntu 20.04)

Bei einem weitere Container (Ubuntu 18.04), ebenfalls Firewall aktiviert, out DROP und in DROP ist aktiviert und sonst gar nix: ich kann vom Container aus apt updaten, was ja eigentlich ohne offenen Webport out nicht funktionieren sollte. Ich hab dort sogar die INPUT und OUTPUT Policy beides auf DROP gesetzt, was ja eigentlich nicht nötig sein sollte (beim obigen Beispiel war es auch nicht nötig).

Meine Versionen sind:
proxmox-ve: 6.2-1 (running kernel: 5.4.44-2-pve)
pve-manager: 6.2-6
pve-firewall: 4.1-2

Ich setze hier noch die Screenshots rein, falls ich was übersehen haben sollte. Also folgender Container hat normalen Access, obwohl ich meine, die Firewall sollte hier alles droppen:

fw1.pngfw2.png
 
kannst du bitte die container config schicken? pct config CTID
 
@oguz Ja, jetzt hab ichs in der config Datei gesehen. Der nicht funktionierende CT war ein von pve 4 nach 6.2 migrierter, und in der config fehlte bei der net0 Zeile der Eintrag firewall=1, obwohl ich die Firewall via GUI aktiviert hab.

Ich hab jetzt firewall=1 manuell eingefügt, und jetzt funktioniert es.

Also beim Update von pve 4 auf pve 6 werden die Container zwar korrekt übernommen, danach funktioniert aber das Aktivieren der Firewall via GUI nicht.

Vielen Dank, Problem gelöst.
 
  • Like
Reactions: oguz
in 'Network' tab kann man fuer einzelne NICs die firewall aktivieren bzw. deaktivieren, dort waere die stelle, um es nicht in config haendisch schreiben zu muessen.
 
OK, aber für was existiert dann die Option zum Aktivieren unter Firewall -> Options?
 
Man kann die Firewall für einen ganzen CT an- oder ausschalten, jedoch auch granular für einzelne Netzwerk Adapter eines Containers, daher gibt es beide.
Aus ähnlichen Grund gibt es die Datacenter Firewall → Option zum deaktivieren oder aktivieren im gesamten Cluster. Wenn man die Option ausmacht, kann man sicher sein, dass nirgendwo eine Regel aktiv ist, kann beispielsweise bei Wartungen, o.ä., nützlich sein.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!