Moin zusammen,
ich habe gestern einen neuen Proxmox-Node (PVE8.3) in einem abgeschotteten Netzsegment standalone in Betrieb genommen. Ich habe auf dem Node die iptables Firewall ein- und ausgehend für die dort laufenden VMs aktiviert (Default DROP). Für das Monitoring dieses Netzes nutzen wir Zabbix (steht in einem anderen Netz und läuft somit nicht auf dem betroffenen Node). Ich habe entsprechende Firewall-Regeln angelegt und es funktioniert im Monitoring scheinbar alles einwandfrei.
Nun habe ich jedoch das Problem, dass scheinbar teilweise incoming und outcoming im Firewall-Log vertauscht sind und Pakete als DROPPED angezeigt werden, die theoretisch garnicht existieren dürften.
Ich habe folgende Security-Group für VMs und Node angelegt und beiden zugewiesen:
Damit tauchen dann alle paar Sekunden Firewall-Log-Einträge unter der VM und im Node auf, die folgendermaßen aussehen:
Das Log zeigt also eingehenden(!) Traffic von der VM an den Zabbix-Host an und dass es diesen gedropped hat - obwohl diese Richtung für mein Empfinden nicht möglich ist.
Lege ich eine entsprechende Firewall-Regel in der Security-Group an, ist das Log natürlich ruhig.
Wenn ich jetzt jedoch die Firewall-Regeln vereinfache und folgendermaßen umbaue:
tritt das o.g. Phänomen nicht auf.
Edit: Es war nur kurz ruhig und dann traten auch damit die Log-Einträge weiter auf.
Handelt es sich dabei um einen Bug im Logging oder in der Firewall oder habe ich das Prinzip der iptables-Firewall falsch verstanden?
ich habe gestern einen neuen Proxmox-Node (PVE8.3) in einem abgeschotteten Netzsegment standalone in Betrieb genommen. Ich habe auf dem Node die iptables Firewall ein- und ausgehend für die dort laufenden VMs aktiviert (Default DROP). Für das Monitoring dieses Netzes nutzen wir Zabbix (steht in einem anderen Netz und läuft somit nicht auf dem betroffenen Node). Ich habe entsprechende Firewall-Regeln angelegt und es funktioniert im Monitoring scheinbar alles einwandfrei.
Nun habe ich jedoch das Problem, dass scheinbar teilweise incoming und outcoming im Firewall-Log vertauscht sind und Pakete als DROPPED angezeigt werden, die theoretisch garnicht existieren dürften.
Ich habe folgende Security-Group für VMs und Node angelegt und beiden zugewiesen:
- OUT - ACCEPT - SRC-IP *, DST-IP <Zabbix>, TCP, DPT 10050
- OUT - ACCEPT - SRC-IP *, DST-IP <Zabbix>, TCP, DPT 10051
- IN - ACCEPT - SRC-IP <Zabbix>, DST-IP *, TCP, DPT 10050
- IN - ACCEPT - SRC-IP <Zabbix>, DST-IP *, TCP, DPT 10051
Das * soll nur verdeutlichen, dass ich keine IP hinterlegt habe und somit alle erlaubt sind
Damit tauchen dann alle paar Sekunden Firewall-Log-Einträge unter der VM und im Node auf, die folgendermaßen aussehen:
Code:
200 6 tap200i0-IN 06/Dec/2024:13:55:25 +0100 policy DROP: IN=fwbr200i0 OUT=fwbr200i0 PHYSIN=fwln200i0 PHYSOUT=tap200i0 MAC=<xxx> SRC=<IP VM> DST=<IP Zabbix> LEN=52 TOS=0x02 PREC=0x00 TTL=128 ID=17383 DF PROTO=TCP SPT=62636 DPT=10051 SEQ=1928321605 ACK=0 WINDOW=64240 SYN
200 6 tap200i0-IN 06/Dec/2024:13:55:26 +0100 policy DROP: IN=fwbr200i0 OUT=fwbr200i0 PHYSIN=fwln200i0 PHYSOUT=tap200i0 MAC=<xxx> SRC=<IP Node> DST=<IP Zabbix> LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=60089 DF PROTO=TCP SPT=49329 DPT=10051 SEQ=3703780512 ACK=0 WINDOW=64240 SYNDas Log zeigt also eingehenden(!) Traffic von der VM an den Zabbix-Host an und dass es diesen gedropped hat - obwohl diese Richtung für mein Empfinden nicht möglich ist.
Lege ich eine entsprechende Firewall-Regel in der Security-Group an, ist das Log natürlich ruhig.
Wenn ich jetzt jedoch die Firewall-Regeln vereinfache und folgendermaßen umbaue:
- OUT - ACCEPT - SRC-IP *, DST-IP <Zabbix>, TCP, DPT 10050:10051
- IN - ACCEPT - SRC-IP <Zabbix>, DST-IP *, TCP, DPT 10050:10051
Edit: Es war nur kurz ruhig und dann traten auch damit die Log-Einträge weiter auf.
Handelt es sich dabei um einen Bug im Logging oder in der Firewall oder habe ich das Prinzip der iptables-Firewall falsch verstanden?
Last edited: