41.2.2. Конфигурация узла

⁠41.2.2. Конфигурация узла

Конфигурация, связанная с узлом, считывается из файла /etc/pve/nodes/<nodename>/host.fw. Здесь можно перезаписать правила из конфигурации cluster.fw или увеличить уровень детализации журнала и задать параметры, связанные с netfilter.

В файле host.fw содержатся следующие секции:

[OPTIONS] — используется для настройки параметров межсетевого экрана, связанных с узлом;
[RULES] — правила межсетевого экрана, специфичные для узла.

⁠

Таблица 41.2. Опции секции [OPTIONS] конфигурации узла

Опция	Описание
enable: <1\|0>	Включить или отключить межсетевой экран узла
log_level_in: <alert \| crit \| debug \| emerg \| err \| info \| nolog \| notice \| warning>	Уровень журнала для входящего трафика. Возможные значения: alert — логировать важные события; crit — логировать критические события; debug — логировать всё (для отладки); emerg — логировать только аварийные события; err — логировать ошибки; info — логировать информационные сообщения; nolog — не логировать; notice — логировать уведомления; warning — логировать предупреждения.
log_level_out: <alert \| crit \| debug \| emerg \| err \| info \| nolog \| notice \| warning>	Уровень журнала для исходящего трафика (аналогично log_level_in)
log_nf_conntrack: <1\|0> (по умолчанию = 0)	Включить регистрацию информации о conntrack
ndp: <1\|0> (по умолчанию = 0)	Включить NDP (протокол обнаружения соседей)
nf_conntrack_allow_invalid: <1\|0> (по умолчанию = 0)	Разрешить недействительные пакеты при отслеживании соединения
nf_conntrack_helpers: <string> (по умолчанию = ``)	Включить conntrack helpers для определенных протоколов. Поддерживаемые протоколы: amanda, ftp, irc, netbios-ns, pptp, sane, sip, snmp, tftp
nf_conntrack_max: <integer> (32768 — N) (по умолчанию = 262144)	Максимальное количество отслеживаемых соединений
nf_conntrack_tcp_timeout_installed: <integer> (7875 — N) (по умолчанию = 432000)	Тайм-аут, установленный для conntrack
nf_conntrack_tcp_timeout_syn_recv: <integer> (30 — 60) (по умолчанию = 60)	Тайм-аут syn recv conntrack
nosmurfs: <1\|0>	Включить фильтр SMURFS
protection_synflood: <1\|0> (по умолчанию = 0)	Включить защиту от synflood
protection_synflood_burst: <integer> (по умолчанию = 1000)	Уровень защиты от Synflood rate burst по IP-адресу источника
protection_synflood_rate: <integer> (по умолчанию = 200)	Скорость защиты Synflood syn/sec по IP-адресу источника
smurf_log_level: <alert \| crit \| debug \| emerg \| err \| info \| nolog \| notification \| warning>	Уровень журнала для фильтра SMURFS
tcp_flags_log_level: <alert \| crit \| debug \| emerg \| err \| info \| nolog \| notification \| warning>	Уровень журнала для фильтра нелегальных флагов TCP
tcpflags: <1\|0> (по умолчанию = 0)	Фильтрация недопустимых комбинаций флагов TCP

Параметры межсетевого экрана узла можно настроить в веб-интерфейсе (Узел → Сетевой экран → Параметры):