参考ProxmoxVE6.x 默认防火墙规则,除去PVE默认已开放的流量,作出以下配置.
集群结构:
本地网 : vmbr0 网段:192.168.88.0/24 网关:192.168.88.254 集群网 : vmbr1 网段:192.168.34.0/24 网关:无 存储网 : vmbr2 网段:192.168.35.0/24 网关:无 使用Ceph : 是
集群防火墙:
cat /etc/pve/firewall/cluster.fw [OPTIONS] enable: 1 [ALIASES] corosync_network 192.168.34.0/24 # 集群网192.168.34.0/24 local_network 192.168.88.0/24 # 本地网192.168.88.0/24 storage_network 192.168.35.0/24 # 存储网192.168.35.0/24 [IPSET blacklist] # 默认集-黑名单 [IPSET management] # 默认集-管理 corosync_network local_network storage_network [RULES] GROUP main # 全局引用-主组 GROUP storage # 全局引用-存储组 [group main] # 主要组 IN ACCEPT -dest local_network -p tcp -dport 8006 -log nolog # 公网访问WEB IN SSH(ACCEPT) -dest local_network -log nolog # 公网访问SSH [group storage] # 存储组 IN Ceph(ACCEPT) -source storage_network -dest storage_network -log nolog
VMID100防火墙:
cat /etc/pve/firewall/100.fw [OPTIONS] enable: 1 #开启MAC过滤,开启MAC过滤后虚拟机里改变MAC网络会不通.防止ARP攻击 macfilter: 1 #开启IP自动过滤(放行根据MAC生成的IPV6地址和关联的IP) ipfilter: 1 #放行IN流量 policy_in: ACCEPT [IPSET ipfilter-net0] # IP手动过滤(上面自动过滤不开启也生效) #net0网卡只允许192.168.88.55流量,防止虚拟机盗用IP 192.168.88.55
允许使用FTP
echo "ip_conntrack_ftp" >> /etc/modules modprobe ip_conntrack_ftp