Firewall Bug oder Feature

Sven_R

Member
Oct 14, 2017
2
0
21
50
Hallo,
ich hab von Hetzner eine Mail bekommen das mein Proxmox MAC Adressen Verwendet
die von Hetzner nicht erlaubt wurden.

Auf dem Blech hab ich dann gesehen das Proxmox hier zwei neue Interfaces mit
dem Namen fwbr erzeugt hat.

in der Config stand auch "firewall=1" auf der Weboberfläche wurde aber
die Firewall als Inaktiv angezeigt.

Ist das nen Bug das Proxmox hier ohne Nachfrage und Willkürlich die
Firewall für die Instanzen Aktiviert?

Das Blech lief nämlich seit 6 Monaten ohne das ich was Verändert habe,
mal von den Updates abgesehen.

Des Weiteren wurden nur in zwei Instanzen von vier die Firewall Aktiviert.

Gruss
Sven
 
Der Reihe nach:

ich hab von Hetzner eine Mail bekommen das mein Proxmox MAC Adressen Verwendet
die von Hetzner nicht erlaubt wurden.
Problem ist bekannt, wurde auch schon auf der pve-devel Liste diskutiert. Siehe u.a.:
https://lists.proxmox.com/pipermail/pve-devel/2021-October/050267.html
https://lists.proxmox.com/pipermail/pve-devel/2021-September/049936.html

Auf dem Blech hab ich dann gesehen das Proxmox hier zwei neue Interfaces mit
dem Namen fwbr erzeugt hat.

in der Config stand auch "firewall=1" auf der Weboberfläche wurde aber
die Firewall als Inaktiv angezeigt.
In welcher config? Damit die firewall grundsätzlich aktiv sein kann, muss sie auf Datacenter Ebene aktiviert werden, danach kann sie entweder auf VM/CT Ebene (über die NIC config) oder zusätzlich auch node-ebene aktiviert sein (in den "Firewall -> Options" der Node in der GUI).

Siehe dazu auch unsere doku: https://pve.proxmox.com/pve-docs/chapter-pve-firewall.html

Des Weiteren wurden nur in zwei Instanzen von vier die Firewall Aktiviert.
Ich gehe jetzt mal davon aus, dass mit Instanzen VMs/CTs gemeint sind? Wie schauen denn die configs von denen aus? (qm/pct config <vmid>)

pve-firewall status auf der node zeigt vielleicht auch was nützliches.

Ist das nen Bug das Proxmox hier ohne Nachfrage und Willkürlich die
Firewall für die Instanzen Aktiviert?

Das Blech lief nämlich seit 6 Monaten ohne das ich was Verändert habe,
mal von den Updates abgesehen.
Mir ist kein bug bekannt, und nachdem das statische config files sind auch eher unwahrscheinlich würde ich sagen...
 
Hallo,

also die Firewall hab ich nie bewusst Aktiviert.
Zudem wundert es mich, das halt auch nur zwei von 4 VM´s die Firewall aktiv hatten.

Ich hab in dem Zuge gleich auch mal ein anderes Blech geprüft, gleiches Ergebnis.
Komisch war auch, das immer die config 100 und 103 auf beiden Blechen die Firewall Aktiv hatten.
Ich nutze hier Qemu Server System.


Code:
bootdisk: scsi0
cores: 2
ide2: local:iso/debian-10.2.0-amd64-netinst.iso,media=cdrom,size=335M
memory: 2048
name: tun****
net0: virtio=00:50:ho:ha:ho:ha,bridge=vmbr0
numa: 0
onboot: 1
ostype: l26
scsi0: local:103/vm-103-disk-0.qcow2,size=5G
scsihw: virtio-scsi-pci
smbios1: uuid=b85ac84f-935d-4951-94a4-*******
sockets: 1
vmgenid: bcc1d484-816e-45e9-b4f3-******

Bei der vm103 config hab ich dann nur unter "net0" firewall=1 entfernt.

Code:
~#pve-firewall status
Status: disabled/running


Die Configs der VM´s sind auf beiden Blechen nahezu Identisch da 2x 2 VM´s
als Tunnel Server für den Freifunk dienen.

Gruss
Sven
 
Das setting 'firewall=1' bedeutet nur, dass *wenn* die firewall aktiv wäre, dann wären die NICs auf diesen VMs betroffen. Die firewall ist aber aus (auf datacenter ebene), wie am 'pve-firewall status' output ersichtlich. Die settings auf den VMs haben also keinerlei Effekt.

Wieso sie nur auf 2 von 4 VMs sind kann ich nicht sagen, dass wird wohl beim Erstellen so konfiguriert worden sein?
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!