ip6tables 규칙은 OpenVZ 컨테이너에서 완전히 무시됩니다.


9

브리지 된 veth 장치를 사용하여 openvz에서 IPv6 네트워킹을 설정했습니다. VE와의 IPv6 트래픽은 정상적으로 작동합니다.

ip6tables는 HN에서 작동하고 iptables는 VE에서 작동합니다. VE 내부에서 오류 메시지없이 ip6tables 규칙을 설정할 수 있습니다. 그러나 그들은 완전히 무시됩니다.

ip6tables가 작동하려면 어떤 추가 구성 옵션이 필요합니까?


7
을하고 가치가있을 수도 있습니다 ip6tables -I INPUT -j LOG패킷이 실제로 필터를 치는 경우보고. 그렇다면 필터 전체에 (특히 예상되는 삭제 후) 비슷한 줄을 추가하여 syslog에 무엇이 기록되는지 확인하십시오.
Andy Smith

1
필요한 iptables 기능이 vz.conf 파일에 있는지 확인하십시오.
awmusic12635

1
서비스가 시작 되었습니까? 변경 사항을 적용하려면 시스템을 다시 시작해야합니까?
Xalorous

사용중인 iface가 이전 IPv4 iptables에서 트래픽을보고 있는지 확인 했습니까? 불분명 한 추상화 계층은 시스템에 아무 것도 보이지 않는 여러 "잘못된"NIC를 남길 수 있습니다. 인터넷에 eth0을, 내부 LAN에 eth1을 사용했던 시대는 지났습니다.
Zdenek

답변:


0

proxmox에서 컨테이너를 사용하고있는 것 같습니다. 그런 다음
proxmox 의 그래픽 인터페이스에서 네트워크 주소가 PVE에 의해 잘 알려져 있는지 확인해야합니다. 경우에 따라 pve는 일부 iptables 모듈을 사용할
수 없습니다. pve / modules.dep : 해당 파일이나 디렉토리가 없습니다

참고 : proxmox 5 일, 오픈 VZ 컨테이너가 변환됩니다 LXC은 ,이 몇 가지 편견을 소개 할 수


-1

명시 적으로 규칙을 venet0 인터페이스에 적용하고 있는지 확인하십시오.


아니. OP는 명시 적으로 veth를 사용한다고 말했다. 여기에 venet0 없음
Bruno9779 16:28

-2

OpenVZ 컨테이너는 호스트 노드에서 커널과 모듈을 상속합니다. 이로 인해 OpenVZ / LXC 컨테이너에 새 커널 모듈을로드 할 수 없습니다. 호스트 노드에 ip6_tables커널 모듈이 커널로 컴파일되거나 모듈로로드되어 있는지 확인합니다 .

OpenVZ가 반 가상화이기 때문에 문제가됩니다. 이는 호스트 노드와 동일한 커널을 공유한다는 의미입니다. 다른 OpenVZ 컨테이너와 동일한 커널을 공유하므로 모듈을 커널에로드 할 수 없습니다. 하드웨어 가상 머신을 사용하면 자체 커널을 실행 한 다음 커널 모듈을로드 / 언로드하거나 자신의 커널을 컴파일하여 사용할 수 있습니다. 아래 링크 된 질문은 차이점을보다 자세히 설명합니다.

Full, Para 및 하드웨어 지원 가상화의 차이점은 무엇입니까?

슬프게도 당신 만의 IPv6의 iptables 모듈은 하드 조금 될 수로드 여부를 결정 게스트 오픈 VZ 환경에 액세스 할 때 lsmod, /proc/modules그리고 /proc/config.gz 종종 오픈 VZ 내부에 존재하지 않는합니다.

이 때문에 호스트 노드에서 루트 액세스 권한이있는 사람이이 커널 모듈을로드해야하므로 공급자에게 연락해야 할 수도 있습니다.


이 모든 사실,하지만 완전히 무관하다 : 그는 입니다 공급자 및 관련 모듈이되어 이미 로드.
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.