Pve Firewall droppt traffic

void · Feb 12, 2021

Hallo,

habe eine VM, die ein Interface hat und mit nem Vlan tag versieht. Bridge ist Vlan aware, alles funktioniert.

Wenn ich die Firewall für das Interface aktiviere wird jeglicher Traffic gedroppt obwohl alle Policies auf ACCEPT gestellt sind und die Firewall durchgängig sowohl für den Cluster , den Node und die VM aktiviert ist.
Habe die diversen Forenthreads auch schon durch.

Die Regeln werden generiert, habe ich mit pve-firewall überprüft.

Woran kann das liegen?
Pve-6.3

Danke

CoolTux · Feb 12, 2021

Zeig mal Deine config bitte für die VM
/etc/pve/firewall/

void · Feb 12, 2021

So siehts aus:

Code:

[OPTIONS]

ipfilter: 1
log_level_in: debug
dhcp: 0
enable: 1
policy_in: ACCEPT
log_level_out: debug
macfilter: 1

[RULES]

OUT ACCEPT -i net1 -log debug
IN ACCEPT -i net1 -log debug

void · Feb 12, 2021

Code:

exists tap112i1-IN (F8SD1truu+3VhsbTQOESYGz04io)
        -A tap112i1-IN -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
        -A tap112i1-IN -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
        -A tap112i1-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
        -A tap112i1-IN -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        -A tap112i1-IN  -m limit --limit 1/sec -j NFLOG --nflog-prefix ":112:7:tap1
12i1-IN: ACCEPT: "
        -A tap112i1-IN  -j ACCEPT
        -A tap112i1-IN  -j ACCEPT
exists tap112i1-OUT (8lS5A6MTGPmW5r5KGssrtFObyXM)
        -A tap112i1-OUT -m mac ! --mac-source 4E:BC:CD:B9:09:25 -j DROP
        -A tap112i1-OUT -p icmpv6 --icmpv6-type router-advertisement -j DROP
        -A tap112i1-OUT -m set ! --match-set PVEFW-112-ipfilter-net1-v6 src -j DROP
        -A tap112i1-OUT -j MARK --set-mark 0x00000000/0x80000000
        -A tap112i1-OUT -p icmpv6 --icmpv6-type router-solicitation -g PVEFW-SET-AC
CEPT-MARK
        -A tap112i1-OUT -p icmpv6 --icmpv6-type neighbor-solicitation -g PVEFW-SET-
ACCEPT-MARK
        -A tap112i1-OUT -p icmpv6 --icmpv6-type neighbor-advertisement -g PVEFW-SET
-ACCEPT-MARK
        -A tap112i1-OUT  -m limit --limit 1/sec -j NFLOG --nflog-prefix ":112:7:tap
112i1-OUT: PVEFW-SET-ACCEPT-MARK: "
        -A tap112i1-OUT  -g PVEFW-SET-ACCEPT-MARK
        -A tap112i1-OUT  -g PVEFW-SET-ACCEPT-MARK

fabian · Feb 12, 2021

ist das ipfilter ipset entsprechend gefuellt?

fabian · Feb 12, 2021

bzw funktionierts wenn du den ipfilter abdrehst?

void · Feb 12, 2021

fabian said:
ist das ipfilter ipset entsprechend gefuellt?

weder

fabian said:
bzw funktionierts wenn du den ipfilter abdrehst?

noch.

void · Feb 12, 2021

Hab den Macfilter auch noch weggenommen.

CoolTux · Feb 12, 2021

Dann sollte das hier
-A tap112i1-OUT -m mac ! --mac-source 4E:BC:CD:B9:09:25 -j DROP
jetzt raus sein. Kannst Du das mal bitte anschauen? Und geht dann der OUT Verkehr?

void · Feb 12, 2021

112 7 tap112i1-OUT 12/Feb/2021:16:17:28 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=33845 DF PROTO=TCP SPT=34404 DPT=22 SEQ=3786708343 ACK=0 WINDOW=64240 SYN

Aber die packerl landen nirgends.

CoolTux · Feb 12, 2021

MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00

ist aber ungleich

--mac-source 4E:BC:CD:B9:09:25

oder sehe ich das falsch

void · Feb 12, 2021

Leon Gaultier said:
MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00

ist aber ungleich

--mac-source 4E:BC:CD:B9:09:25

oder sehe ich das falsch

was ist der rest rundherum?

auf der IN Chain wird nichts geloggt.

mac-filter ist aus.

CoolTux · Feb 12, 2021

Also wenn ich das richtig verstehe dann sollte
MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00
die Source MAC sein
MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00
die Destination MAC.
Würde aber bedeuten das Du anscheinend von einem anderen Rechner aus versucht hast auf die Problem VM zu zugreifen.

void · Feb 12, 2021

Leon Gaultier said:
Also wenn ich das richtig verstehe dann sollte
MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00
die Source MAC sein
MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00
die Destination MAC.
Würde aber bedeuten das Du anscheinend von einem anderen Rechner aus versucht hast auf die Problem VM zu zugreifen.

umgekehrt, passt schon so.
zuerst destination, dann source, dann frame type

CoolTux · Feb 12, 2021

Ah ok. War mir da nicht ganz sicher.
Aber hast Du den MAC Filter auch mal raus genommen. Also den Eintrag welchen ich da markiert habe?

void · Feb 12, 2021

Leon Gaultier said:
Ah ok. War mir da nicht ganz sicher.
Aber hast Du den MAC Filter auch mal raus genommen. Also den Eintrag welchen ich da markiert habe?

ja mac filter ist aus

CoolTux · Feb 12, 2021

Das ganze sollte ja laut Deiner Konfig geloggt werden. Kannst Du mal bitte das Log hier anhängen wenn Du versuchst eine SSH Verbindung von der Problem VM zu einem anderen Host auf zu bauen.

void · Feb 12, 2021

Leon Gaultier said:
Das ganze sollte ja laut Deiner Konfig geloggt werden. Kannst Du mal bitte das Log hier anhängen wenn Du versuchst eine SSH Verbindung von der Problem VM zu einem anderen Host auf zu bauen.

gerne nochmal:
112 7 tap112i1-OUT 12/Feb/2021:16:31:43 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19891 DF PROTO=TCP SPT=34430 DPT=22 SEQ=2086869302 ACK=0 WINDOW=62720 SYN
112 7 tap112i1-OUT 12/Feb/2021:16:51:14 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=23464 DF PROTO=TCP SPT=34436 DPT=22 SEQ=1575494267 ACK=0 WINDOW=62720 SYN
112 7 tap112i1-OUT 12/Feb/2021:16:51:17 +0100 ACCEPT: IN=fwbr112i1 OUT=fwbr112i1 PHYSIN=tap112i1 PHYSOUT=fwln112i1 MAC=b8:af:67:a2:97:88:4e:bc:cd:b9:09:25:08:00 SRC=172.16.41.2 DST=172.16.41.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29463 DF PROTO=TCP SPT=34438 DPT=22 SEQ=106741454 ACK=0 WINDOW=62720 SYN

Also so wie es aussieht geht nur was raus. Auf der tap112i1-IN Chain wird nichts geloggt.

CoolTux · Feb 12, 2021

Wo kommt eigentlich das hier her

exists tap112i1-IN (F8SD1truu+3VhsbTQOESYGz04io)
-A tap112i1-IN -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
-A tap112i1-IN -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A tap112i1-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-A tap112i1-IN -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
-A tap112i1-IN -m limit --limit 1/sec -j NFLOG --nflog-prefix ":112:7:tap1
12i1-IN: ACCEPT: "
-A tap112i1-IN -j ACCEPT
-A tap112i1-IN -j ACCEPT

Steht das in der Firewall Config von der VM?

Ich frage weil das Netzwerkdevice ja eigentlich net1 heißt und nicht tap112i1.
Ich glaube wir beide stochern ganz schön im dunkeln

Sorry

CoolTux · Feb 12, 2021

Alternativ würde ich sagen. Sichere Dir mal die Konfig der Firewall für die Maschine weg und erstelle eine neue und fange mit einfachen Regeln an.

Pve Firewall droppt traffic

New Member

Famous Member

New Member

New Member

Proxmox Staff Member

Proxmox Staff Member

New Member

New Member

Famous Member

New Member

Famous Member

New Member

Famous Member

New Member

Famous Member

New Member

Famous Member

New Member

Famous Member

Famous Member