[SOLVED] LXC-Firewall hat keinen Effekt

dekiesel

Member
Apr 30, 2023
44
3
8
Hi,


Ich versuche die outgoing connections eines LXC derart zu unterbinden, dass er nur noch auf einen bestimmten Host auf zwei bestimmten Ports zugreifen kann.

Code:
LXC1 -------------------tcp 1883/8883--------------->LXC2

Dazu habe ich

  • Firewall im Datacenter aktiviert
  • Firewall der Node auf der der LXC läuft aktiviert
  • Firewall des LXC aktiviert
  • Firewall der vNIC aktiviert.
Leider greifen die Regeln nicht.

systemctl pve-firewall restart habe ich auch bereits versucht.

Code:
root@pve:~# pct config 107
...
features: keyctl=1,nesting=1
net1: name=eth101,bridge=vmbr0,firewall=1,hwaddr=16:09:17:F7:EC:34,ip=dhcp,tag=101,type=veth
ostype: alpine
unprivileged: 1
...
root@pve:~#

Hier die fw-Regeln:
Code:
root@pve:/# cat ./etc/pve/firewall/107.fw
[OPTIONS]


log_level_out: nolog
enable: 1
ipfilter: 0


[RULES]


OUT ACCEPT -i net1 -dest 10.1.101.5 -p tcp -dport 8883 -log nolog # allow connection to mqtt.lan on 8883
OUT ACCEPT -i net1 -dest 10.1.101.5 -p tcp -dport 1883 -log nolog # allow connection to mqtt.lan on 1883
OUT DROP -i net1 -dest 10.1.101.164 -p tcp -log debug # disallow anything else


root@pve:/#

Falls irgendjemand weiss was ich falsch mache würde ich mich über Hilfe freuen.
 
Problem gelöst.

Erstmal war die DROP regel falsch, aber damit habe ich die Verbindung getestet (wollte nur drauf hinweisen).

Das eigentliche Problem war, dass die Regeln anscheinend nicht direkt greifen sondern eine Minute (ca) brauchen. Ich habe aber direkt nach dem Verändern der Regeln getestet und da haben die neuen Regeln noch nicht gegriffen.

Lösung war also Geduld haben.
 
Die Regeln greifen sofort, aber immer nur bei neu angelegten Verbindungen. Bereits bestehende bleiben davon aus.

Danke für die Info. Dann verstehe ich nicht wieso eine direkt ssh-Verbindung erst zugelassen wird. Wenn ich ein wenig warte wird sie gedroppt.
 
  • Like
Reactions: CoolTux

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!