Proxmox nat-setup in Verbindung mit der Proxmox-Firewall (iptables-Stuff)

KosMos · 24. August 2023

Hey zusammen,

Nutzt jemand Proxmox in Verbindung mit einem nat-Setup? Alle meine VMs haben IPs aus dem Bereich 10.0.0.0/24 zugewiesen, damit diese auch untereinander kommunizieren können.

Auf dem Host mit der öffentlichen IP habe ich manuell folgende iptables-Regel hinzugefügt

iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

Damit wird jeglicher ausgehender Verkehr maskiert und die privaten Adressen ersetzt. Das klappt auch wunderbar. Nur wenn ich die Firewall von Proxmox aktiviere, dann klappt das POSTROUTING nicht mehr.

Alternativ würde es mir auch reichen, wenn ich iptables komplett manuell auf dem Host konfiguriere und die Proxmox-Lösung einfach nicht benutze, aber dafür müsste ich wissen, welche Ports Proxmox nutzt.

frank_m · 24. August 2023

Zitat von KosMos

Nur wenn ich die Firewall von Proxmox aktiviere, dann klappt das POSTROUTING nicht mehr.

Was macht die Firewall denn? Die muss ja irgendwie auch Regeln eintragen (oder löschen). Das würde ich doch mal als erstes analysieren.

Zitat von KosMos

Alternativ würde es mir auch reichen, wenn ich iptables komplett manuell auf dem Host konfiguriere und die Proxmox-Lösung einfach nicht benutze, aber dafür müsste ich wissen, welche Ports Proxmox nutzt.

https://pve.proxmox.com/wiki/Ports. Da ist die Frage, was du davon öffentlich verfügbar machen willst. Meines Erachtens ist das alles was für hinter einem VPN.

KosMos · 24. August 2023

Ich glaube ich habe den Fehler gefunden. Die Proxmox-Firewall legt haufenweise Chains an, wo man dann schnell mal den Überblick verliert.

Mein POSTROUTING und PREROUTING durchläuft in jedem Fall noch die FORWARD Chain und diese wird default auf DROP gestellt.

Ich habe iptables jetzt manuell konfiguriert und nach außen hin nur das Webinterface freigegeben. Ich sehe keinen Grund https noch über VPN zu tunneln.

cltrmx · 24. August 2023

Zitat von KosMos

Ich sehe keinen Grund https noch über VPN zu tunneln.

Ich vermute, dass das viele Admins gerne machen, damit die Loginmaske nicht öffentlich erreichbar ist.

KosMos · 24. August 2023

Ja ich gebe dir Recht, was nicht öffentlich sein muss, sollte man auch nicht öffentlich zugänglich machen.

Genau genommen ist es bei mir nicht öffentlich, da der Proxmox-Server in einem Unternehmensnetzwerk steht. Die Rechner im Unternehmen haben zwar öffentliche IP-Adressen, aber da gibt es noch eine Firewall, sodass die Weboberfläche nur im Unternehmensnetzwerk erreichbar ist.

Proxmox unterstützt glaub noch 2 Faktor Authentisierung evtl. mache ich das noch zusätzlich.

mfnalex · 24. August 2023

Mein Proxmox ist hinter Wireguard und Login geht nur mit Yubikey

KosMos · 24. August 2023

Hast du da auch ein nat Setup und nutzt du die in Proxmox integrierte Firewalllösung ?

mfnalex · 24. August 2023

Mit der integrierten Firewall hatte ich nur Probleme bzgl. NAT, daher hab ich ganz old-school iptables-Regeln manuell angelegt.

Die Config kann ich morgen mal hier reinkopieren, falls es jemanden interessiert

EDIT:

Also im Prinzip hab ich eigentlich nur ein kleines Shellscript das als Parameter die VM-ID nimmt (meine VMs haben alle IPs nach dem Schema 10.0.0.<VM-ID> bzw fc00::<VM-ID>), den Host Port, den VM Port, und das Protokoll. Das sieht dann ca. so aus:

Code: route-port.sh

iptables -t nat -A PREROUTING -i enp35s0 -p $PROTOCOL --dport $HOST_PORT -j DNAT --to-destination 10.0.0.${VM_ID}:${VM_PORT}
iptables -A FORWARD -p $PROTOCOL --dport $HOST_PORT -j ACCEPT
ip6tables -t nat -A PREROUTING -i enp35s0 -p $PROTOCOL --dport $HOST_PORT -j DNAT --to-destination [fc00::${VM_ID}]:${VM_PORT}
ip6tables -A FORWARD -p $PROTOCOL --dport $HOST_PORT -j ACCEPT

Das wird dann mehrere male von meinem "Haupt-iptables-Skritp" aufgerufen ($route ist der Pfad zur route-port.sh).

Code: iptables.sh

# ...

$route 101 80 80 tcp
$route 101 443 443 tcp

## Mailcow
for PORT in 25 465 587 143 993 110 995 4190; do
        $route 109 $PORT $PORT tcp
done

## Ptero SFTP
$route 111 2022 2022 tcp
## Ptero Wings
$route 111 8080 8080 tcp

## Gameservers
$route 112 25565 25565 tcp # proxy
$route 112 25565 25565 udp
$route 112 19132 19132 tcp # bedrock ipv4
$route 112 19132 19132 udp
$route 112 19133 19133 tcp # bedrock ipv6
$route 112 19133 19133 udp

# ...

Alles anzeigen

Sehr unsauber, aber es funktioniert wenigstens. Das sind jetzt nur die Regeln für öffentlich erreichbare Ports. Für das Webinterface z.b. habe ich folgende Regeln, wobei $fly_v4 und $fly_v6 jeweils die IPs vom Wireguard sind:

Code: iptables.sh

## Allow SSH from VPN, Ansible and Fly
ip6tables -A INPUT -p tcp --dport 22 -s "$fly_v6" -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -s fc00::102 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j REJECT
iptables -A INPUT -p tcp --dport 22 -s "$fly_v4" -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.102 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

## Allow Webinterface from VPN
ip6tables -A INPUT -p tcp --dport 8006 -s "$fly_v6" -j ACCEPT
ip6tables -A INPUT -p tcp --dport 8006 -j REJECT
iptables -A INPUT -p tcp --dport 8006 -s "$fly_v4" -j ACCEPT
iptables -A INPUT -p tcp --dport 8006 -j REJECT

Alles anzeigen

Sind wahrscheinlich ziemliche Drecks-Regeln, aber wie gesagt, funktioniert für mich

Auf dem Host läuft auch noch irgendwas auf en Ports 111, 3128 und 4949, ich weiß nicht mehr was das ist und hab grad auch keine Lust nachzugucken, ich weiß nur dass das bei Proxmox standardmäßig offen ist, die hab ich daher ebenfalls dicht gemacht und nur für den Wireguard geöffnet.

Hier mal die komplette ungeschnittene Config:
iptables.sh: https://paste.jeff-media.com/?…MH2sskfiU3j4nJ73jASuWPtyj
route-port.sh: https://paste.jeff-media.com/?…sais3u9G973hMAbLejdSFwYeq

hoedlmoser · 25. August 2023

Zitat von mfnalex

ip6tables -t nat -A PREROUTING -i enp35s0 -p $PROTOCOL --dport $HOST_PORT -j DNAT --to-destination [fc00::${VM_ID}]:${VM_PORT}

oh, IPv6 NAT auf eine ULA. welche vorteile hat das gegenüber einem forward auf eine public IP? ok, man braucht kein zusätzliches IPv6 netz oder das bestehende splitten. aber ausser topology hiding sonst noch was?

mfnalex · 25. August 2023

Der Grund warum ich das so mache ist, weil ich es nicht besser weiß

KosMos · 25. August 2023

Okay danke für die Info, dann bist du den gleichen Weg gegangen und nutzt die proxmox-Firewall nicht. Ich hab das auch so und lasse das so.

frank_m · 25. August 2023

Zitat von hoedlmoser

oh, IPv6 NAT auf eine ULA. welche vorteile hat das gegenüber einem forward auf eine public IP?

Man umgeht ggf. das NDP Proxy Problem, wenn man mit dem mitgelieferten /64 arbeitet. Aber ansonsten würde ich das auch nicht machen.