브리지 된 veth 장치를 사용하여 openvz에서 IPv6 네트워킹을 설정했습니다. VE와의 IPv6 트래픽은 정상적으로 작동합니다.
ip6tables는 HN에서 작동하고 iptables는 VE에서 작동합니다. VE 내부에서 오류 메시지없이 ip6tables 규칙을 설정할 수 있습니다. 그러나 그들은 완전히 무시됩니다.
ip6tables가 작동하려면 어떤 추가 구성 옵션이 필요합니까?
브리지 된 veth 장치를 사용하여 openvz에서 IPv6 네트워킹을 설정했습니다. VE와의 IPv6 트래픽은 정상적으로 작동합니다.
ip6tables는 HN에서 작동하고 iptables는 VE에서 작동합니다. VE 내부에서 오류 메시지없이 ip6tables 규칙을 설정할 수 있습니다. 그러나 그들은 완전히 무시됩니다.
ip6tables가 작동하려면 어떤 추가 구성 옵션이 필요합니까?
답변:
명시 적으로 규칙을 venet0 인터페이스에 적용하고 있는지 확인하십시오.
OpenVZ 컨테이너는 호스트 노드에서 커널과 모듈을 상속합니다. 이로 인해 OpenVZ / LXC 컨테이너에 새 커널 모듈을로드 할 수 없습니다. 호스트 노드에 ip6_tables
커널 모듈이 커널로 컴파일되거나 모듈로로드되어 있는지 확인합니다 .
OpenVZ가 반 가상화이기 때문에 문제가됩니다. 이는 호스트 노드와 동일한 커널을 공유한다는 의미입니다. 다른 OpenVZ 컨테이너와 동일한 커널을 공유하므로 모듈을 커널에로드 할 수 없습니다. 하드웨어 가상 머신을 사용하면 자체 커널을 실행 한 다음 커널 모듈을로드 / 언로드하거나 자신의 커널을 컴파일하여 사용할 수 있습니다. 아래 링크 된 질문은 차이점을보다 자세히 설명합니다.
Full, Para 및 하드웨어 지원 가상화의 차이점은 무엇입니까?
슬프게도 당신 만의 IPv6의 iptables 모듈은 하드 조금 될 수로드 여부를 결정 게스트 오픈 VZ 환경에 액세스 할 때 lsmod
, /proc/modules
그리고 /proc/config.gz
종종 오픈 VZ 내부에 존재하지 않는합니다.
이 때문에 호스트 노드에서 루트 액세스 권한이있는 사람이이 커널 모듈을로드해야하므로 공급자에게 연락해야 할 수도 있습니다.
ip6tables -I INPUT -j LOG
패킷이 실제로 필터를 치는 경우보고. 그렇다면 필터 전체에 (특히 예상되는 삭제 후) 비슷한 줄을 추가하여 syslog에 무엇이 기록되는지 확인하십시오.