Verhalten der VM-Firewall, wenn die Cluster-Firewall deaktiviert ist

[convoy74]

Hallo zusammen,


ich habe eine Frage zum Zusammenspiel der Proxmox-Firewall auf Cluster- und VM-Ebene.


Ausgangssituation:
In unserem Proxmox-Cluster ist die Cluster-Firewall global deaktiviert. Nun gibt es unterschiedliche Meinungen dazu, wie man mit der VM-Firewall umgehen sollte:

• Aussage A: VM-Firewall ebenfalls deaktivieren — da sie sonst unerwartete Effekte haben kann.
• Aussage B: VM-Firewall aktiv lassen — da ja zentral alles abgeschaltet ist und keine Regeln greifen, solange nichts definiert ist.

Meine Frage:
Ist es tatsächlich möglich, dass beim Aktivieren der VM-Firewall unerwünschte Blockaden oder Netzwerkprobleme entstehen, obwohl die Cluster-Firewall selbst deaktiviert ist? Oder schaltet Proxmox intern alles so ab, dass keine Gefahr besteht, solange keine spezifischen Regeln gesetzt wurden?


Worauf sollte man in dieser Konstellation achten? Gibt es Best Practices von Proxmox?


Vielen Dank für eure Erfahrung!

 

[coldenburg]

Du musst die Firewall global aktivieren sonst greift die Proxmox Seitige Firewall gar nicht weder auf Clusterebene noch auf VM Ebene.
Es gibt ein gutes deutschsprachiges Buch zu dem Thema, schau mal hier.
https://www.amazon.de/Proxmox-Firew...qid=1762878245&sprefix=proxmox,aps,97&sr=8-18

 

[convoy74]

Vielen Dank, ich habe das Buch soeben bestellt.


Ja, im Grunde ist mir das Verhalten bekannt. Meine Kollegen sind jedoch der Meinung, dass die VM-Firewall auch dann zu Problemen führen kann, wenn die Firewall global deaktiviert ist.
Theoretisch könnte das ja nur passieren, wenn bereits Regeln auf VM-Ebene existieren, die zwar definiert, aber durch die globale Deaktivierung eigentlich wirkungslos sein sollten.


Wenn allerdings nie Regeln angelegt wurden und die Firewall auf Cluster-Ebene noch nie aktiviert war, dürfte es doch keinen Unterschied machen, ob die VM-Firewall aktiv oder inaktiv ist – oder?