跳至内容
Proxmox中文技术站
用户工具
登录
站点工具
搜索
工具
显示页面
过去修订
反向链接
最近更改
媒体管理器
网站地图
登录
>
最近更改
媒体管理器
网站地图
您的足迹:
pve:firewall
本页面只读。您可以查看源文件,但不能更改它。如果您觉得这是系统错误,请联系管理员。
====== 第十章:Proxmox VE防火墙 ====== 原文链接:https://pve.proxmox.com/pve-docs/chapter-firewall.html 最后更新:2026-02-25 ===== 概述 ===== Proxmox VE防火墙提供了强大的网络安全功能,允许您在节点、虚拟机和容器级别实施网络访问控制。 ===== 防火墙架构 ===== === 层级 === * Datacenter级别 - 全局规则 * Node级别 - 节点规则 * VM/CT级别 - 虚拟机/容器规则 === 规则方向 === * IN - 入站 * OUT - 出站 ===== 启用防火墙 ===== === 全局启用 === 在Web界面: 1. 数据中心 → 防火墙 2. 启用防火墙 3. 保存 === 每节点启用 === <code> # /etc/pve/firewall/cluster.fw [OPTIONS] enable: 1 </code> ===== 规则配置 ===== === 基本规则 === * 操作 - ACCEPT/DROP/REJECT * 协议 - TCP/UDP/ICMP * 源/目标端口 * 源/目标IP === 创建规则 === 通过Web界面: 1. 选择防火墙选项卡 2. 点击"添加" 3. 配置规则 4. 保存 === 命令行 === <code> pvesh create /cluster/firewall/rules -pos 1 -action ACCEPT -protocol TCP -dport 22 -comment "SSH" </code> ===== 安全组 ===== === 创建安全组 === <code> pvesh create /cluster/firewall/groups -group web-servers </code> === 添加规则到组 === <code> pvesh create /cluster/firewall/rules -group web-servers -pos 1 -action ACCEPT -protocol TCP -dport 80 </code> === 使用安全组 === 将安全组应用到VM: <code> qm set 100 -firewall 1 -net0 virtio,bridge=vmbr0,firewall=1 </code> ===== 常用规则示例 ===== === 允许SSH === <code> IN ACCEPT -p tcp --dport 22 -log nolog </code> === 允许HTTP/HTTPS === <code> IN ACCEPT -p tcp --dport 80 IN ACCEPT -p tcp --dport 443 </code> === 拒绝Ping === <code> IN DROP -p icmp --icmp-type echo-request </code> === 限制SSH === <code> IN ACCEPT -p tcp --dport 22 -s 10.0.0.0/8 IN DROP -p tcp --dport 22 </code> ===== IPv6支持 ===== === 启用IPv6 === <code> # /etc/pve/firewall/cluster.fw [OPTIONS] enable: 1 ipv6: 1 </code> === IPv6规则 === 与IPv4类似,支持: * TCP/UDP/ICMPv6 * 源/目标地址 * 扩展规则 ===== 日志 ===== === 日志级别 === * nolog - 不记录 * log - 记录 * reject - 记录并拒绝 * drop - 记录并丢弃 === 查看日志 === <code> tail -f /var/log/pve-firewall.log </code> ===== 自动化规则 ===== === Proxmox内置 === * 集群通信 - UDP端口 5404, 5405 * 迁移 - TCP端口 60000-60010 * VNC - 端口 5900-5999 ===== 防护 ===== === DDoS防护 === * 连接限制 * 速率限制 * SYN cookies === 恶意流量 === * 端口扫描检测 * 异常流量检测 ===== 高级配置 ===== === MAC地址过滤 === <code> IN ACCEPT -mac XX:XX:XX:XX:XX:XX </code> === 连接跟踪 === * 状态跟踪 * RELATED/ESTABLISHED * 允许已建立连接 ===== 故障排除 ===== === 常见问题 === * 规则不生效 * 无法连接 * 性能下降 === 诊断 === <code> # 查看规则 iptables -L -n -v # 测试连接 telnet host port # 查看日志 tail -f /var/log/pve-firewall.log </code> ===== 最佳实践 ===== 1. 默认拒绝所有 2. 最小权限原则 3. 记录重要操作 4. 定期审计规则 ===== 配置示例 ===== === 数据中心规则 === <code> # /etc/pve/firewall/cluster.fw [OPTIONS] enable: 1 ebtables: 1 [RULES] IN ACCEPT -p tcp -dport 8006 -s 192.168.1.0/24 </code> === 虚拟机规则 === <code> # /etc/pve/qemu-server/100.fw [INPUT] IN ACCEPT -p tcp -dport 22 IN ACCEPT -p tcp -dport 80 IN ACCEPT -p tcp -dport 443 [FORWARD] IN DROP -log nolog OUT ACCEPT -log nolog </code>
pve/firewall.txt
· 最后更改:
2026/02/26 01:49
由
admin
页面工具
显示页面
过去修订
反向链接
回到顶部
