SDN - Node Firewall stops DHCP even with rules in guide

[SnappProx]

Hello! As title states, I'm using a Simple SDN zone with auto dhcp enabled, dnsmasq installed, basically everything working. HOWEVER, when I enable the node-level firewall, dhcp stops working entirely. Datacentre firewall doesn't effect dhcp.

I have the rules set up from the guide on both a datacentre and a node-level
(These are screenshots from the Datacentre firewall, and then the node firewall)

the VNet is called vmbr100, so the DNS rule is set to point to the SDN zones gateway.

What I'm trying to do is isolate the simple SDN zone so it doesn't have access to the LAN it's SNAT'd behind.. if that makes sense.

Thanks If there's any questions I can answer to help myself out, please let me know.

 

[SnappProx]

I noticed that I didn't put the interface into there, I tried putting the interface in there (vmbr100) still nothing

 

[islaws]

Dit is een vrij veel voorkomende gotcha met Proxmox SDN + node firewall. Wanneer u de firewall op knooppuntniveau inschakelt, begint deze het verkeer te filteren voordat dnsmasq het ziet, zodat DHCP (UDP 67/68) stilletjes wordt gedropt, tenzij het expliciet is toegestaan op de brug.


Een paar dingen om te controleren:


Zorg ervoor dat DHCP (UDP 67/68) is toegestaan op de node firewall, niet alleen op het datacenter niveau. Datacenterregels besparen je niet altijd als de node firewall actief is.


De regel moet worden toegepast op vmbr100 (de SDN bridge), en het moet verkeer van en naar de SDN gateway IP toestaan.


Als het standaardbeleid van de knooppuntfirewall DROP is, wordt dnsmasq onmiddellijk verbroken, tenzij deze regels zijn ingesteld.


Voor het isoleren van de SDN-zone: je bent op de goede weg. De gebruikelijke aanpak is om DHCP + DNS toe te staan aan de SDN-gateway, uitgaande WAN toe te staan indien rabbit road rabbitroadcasino.nl nodig en vervolgens expliciet de toegang tot uw LAN-subnetten op de node firewall te blokkeren. SNAT werkt nog steeds, maar Oost‑West toegang niet.


TL; DR: DHCP-breaking wanneer node firewall is ingeschakeld betekent bijna altijd dat UDP 67/68-regels op de brug ontbreken. Als die eenmaal zijn toegestaan, valt al het andere weer op zijn plaats.