Product SiteDocumentation Site

41.2.3. Конфигурация ВМ/контейнера

Конфигурация межсетевого экрана ВМ считывается из файла /etc/pve/firewall/<VMID>.fw. Этот файл используется для установки параметров межсетевого экрана, связанных с ВМ/контейнером.
В файле содержатся следующие секции:
  • [OPTIONS] — параметры межсетевого экрана ВМ/контейнера;
  • [RULES] — правила межсетевого экрана;
  • [IPSET <имя_набора>] — определения набора IP-адресов;
  • [ALIASES] — определения псевдонимов.

Таблица 41.3. Опции секции [OPTIONS] файла конфигурации ВМ/контейнера

Опция
Описание
dhcp: <1|0> (по умолчанию = 0)
Включить DHCP
enable: <1|0>
Включить или отключить межсетевой экран
ipfilter: <1|0>
Включить фильтры IP по умолчанию. Это эквивалентно добавлению пустого ipfilter-net<id> ipset для каждого интерфейса. Такие ipset неявно содержат разумные ограничения по умолчанию, такие как ограничение локальных адресов ссылок IPv6 до одного, полученного из MAC-адреса интерфейса. Для контейнеров будут неявно добавлены настроенные IP-адреса
log_level_in: <alert | crit | debug | emerg | err | info | nolog | notice | warning>
Уровень журнала для входящего трафика. Возможные значения:
  • alert — логировать важные события;
  • crit — логировать критические события;
  • debug — логировать всё (для отладки);
  • emerg — логировать только аварийные события;
  • err — логировать ошибки;
  • info — логировать информационные сообщения;
  • nolog — не логировать;
  • notice — логировать уведомления;
  • warning — логировать предупреждения.
log_level_out: <alert | crit | debug | emerg | err | info | nolog | notice | warning>
Уровень журнала для исходящего трафика (аналогично log_level_in)
macfilter: <1|0> (по умолчанию = 1)
Включить/выключить фильтр MAC-адресов
ndp: <1|0> (по умолчанию = 0)
Включить NDP (протокол обнаружения соседей)
policy_in: <ACCEPT | DROP | REJECT>
Политика по умолчанию для входящего трафика. Возможные значения:
  • ACCEPT — разрешить;
  • DROP — отбросить;
  • REJECT — отклонить с отправкой уведомления.
policy_out: <ACCEPT | DROP | REJECT>
Политика по умолчанию для исходящего трафика (аналогично policy_in)
radv: <1|0>
Разрешить отправку объявлений маршрутизатора
Параметры межсетевого экрана ВМ/контейнера можно настроить в веб-интерфейсе (ВМ/КонтейнерСетевой экранПараметры):
Параметры сетевого экрана ВМ
Каждое виртуальное сетевое устройство, в дополнение к общей опции включения межсетевого экрана, имеет свой собственный флаг включения межсетевого экрана. Таким образом, можно выборочно включить межсетевой экрана для каждого интерфейса.
Включение межсетевого экрана для сетевого устройства ВМ