Proxmox mit nur einer public IP betreiben.

  • Das hab ich soweit auch, nur dass post-up und post-down nicht gefunden werden ?

    Vorrausgesetzt du meinst, dass man das in der Shell der pve node ausführt. Kann ich das einfach bedenkenlos mit apt installieren ?


    Ich habe außerdem gelesen, dass man Iptables und die Proxmox firewall nicht mischen soll, aber die Proxmox Firewall unterstützt soweit ich das sehe gar kein Prerouting etc.

    Ok vergesst das, hab mittlerweile rausgefunden, dass man das in die Netzwerkconfig Datei reinschreibt, und das kein CLI Befehl ist Facepalm.

  • Das hab ich soweit auch, nur dass post-up und post-down nicht gefunden werden ?

    Vorrausgesetzt du meinst, dass man das in der Shell der pve node ausführt. Kann ich das einfach bedenkenlos mit apt installieren ?


    Ich habe außerdem gelesen, dass man Iptables und die Proxmox firewall nicht mischen soll, aber die Proxmox Firewall unterstützt soweit ich das sehe gar kein Prerouting etc.

    post-up und post-down sind prefixe in der "interfaces" Konfigurationsdatei.... keine Befehle für die Kommandozeile

  • Ich hau hier auch nochmal rein... Der aktuelle RS 2000 G8 mit extra Storage ausm Sonderangebot.


    Installiert wurde ein neues und aktuelles ProxMox. Da ich mit LXC Containern arbeiten möchte, benötige ich die eingebaute Firewall von ProxMox zwangsweise.

    An sich arbeitet die auch echt gut, aber sie blockt mir aktuell das NATing.


    Wenn ich die Firewall auf Datacenter Ebene im GUI abschalte und reboote, funktioniert das NATing vom Container ins Internet. Sobald ich die Firewall wieder anschalte, ist da Sendepause. Container und Host können sich zwar noch gegenseitig erreichen, aber ich mag mit den Containern auch ganz gern aufs Internet zugreifen. Und genau das geht dann nicht mehr.


    Bei der Netzwerkconfig habe ich mich genau an die ProxMox Doku gehalten.



    iptables -nvL war zu lang - hab ich in den Anhang gepackt,


    Ich schätze mal, dass der Traffic in der Chain PVEFW-FORWARD hängen bleibt/rausfliegt. Aber wie bringe ich ProxMox bzw. der ProxMox Firewall jetzt bei, den Traffic da durchzulassen?

  • Die extra Firewall pro Container hast auch deaktiviert? Proxmox ist da überfürsorglich.

    An welchem Zeitpunkt?

    Sobald man auf Datacenter Ebene abschaltet, ist die Firewall ja erstmal überall aus. Und wenn sie überall aus ist, läuft ja auch alles. Sobald ich sie auf Datacenter Ebene wieder anschalte, ist kein Traffic nach außen mehr möglich.


    Ansonsten sind die Firewalls immer überall an.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Am Container bei Netzwerk ist die Firewall nochmal vorhanden. Die war bei mir bei jedem neuen Container wieder aktiv, obwohl auf globaler Ebene die Firewall deaktiviert ist. Ich ärgeren mich darüber jedesmal zuhause.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Am Container bei Netzwerk ist die Firewall nochmal vorhanden. Die war bei mir bei jedem neuen Container wieder aktiv, obwohl auf globaler Ebene die Firewall deaktiviert ist. Ich ärgeren mich darüber jedesmal zuhause.

    Na Moment. Ja klar, die lässt sich nochmal Interface spezifisch ein- bzw. ausschalten. Tatsächlich kann der erste Container mit dem ausschalten dieser auch mit dem Internet kommunizieren. Aber jetzt wirds lustig.


    Um zu testen, ob die Firewall noch vorm Container hängt, habe ich mir einen zweiten Container erstellt. Gleiche Konfiguration, nur IP Adresse halt +1. Der kommt nicht raus ins Internet. Ich krieg hier echt noch ne Krise... :pinch:

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Kurzes Update.


    Also der eine Container der trotzdem nicht ins Netz kam, hatte einfach irgendwo nen Konfigurationsfehler. Ich habe gerade noch nen dritten erstellt, da geht alles.


    Ich habe die Firewall in der Interface config jetzt aus. Ich komm ins Internet - soweit so gut. Aber jetzt haben die Container halt auch keine Firewall mehr. Find ich jetzt auch nicht so wirklich toll.


    Eine Regel, die einfach den kompletten ausgehenden Verkehr erlaubt, hilft nicht. Sollte eigentlich auch überflüssig sein, denn die Policy für ausgehenden Verkehr steht bei den Containern sowieso auf ACCEPT.


    Aber das kann doch nicht sein, dass der Traffic da einfach so geblockt wird... so ein Mist ?(

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber