45399 2023-02-27 12:44:06 +0300 После dist-upgrade с репозитория p10 не работает pve-firewall 2023-03-07 19:57:21 +0300 1 1 1 Unclassified Branch p10 pve-firewall не указана x86_64 Linux CLOSED FIXED P5 major --- 1 nikizzzz shaba alimektor andy qa-p10 oldest_to_newest 222135 0 nikizzzz 2023-02-27 12:44:06 +0300 После установки Альт 10 Сервер Виртуализации, настройки репозитория sysiphus, dist-upgrade, перезагрузки сервера и базовой настройки PVE произведено включение pve-firewall через WebGUI PVE. С точки зрения PVE все в порядке, но Firewall не работает (даже дефолтовый DROP). Если посмотреть состояние сервиса (systemctl status pve-firewall.service), видим повторяющуюся ошибку: status update error: ipset_restore_cmdlist: Try `ipset help' for more information. ipset list не возвращает ничего, хотя настройки ipset через WebGUI в наличии. Ядро pve после обновления 5.10.88-std-def-alt1. Версия pve-firewall 4.2.6-alt2. Беглый поиск дает следующие ссылки: https://forum.proxmox.com/threads/proxmox-7-1-8-firewall-ipset_restore_cmdlist.103372/ https://forum.proxmox.com/threads/blocking-traffic-in-between-vms.102101/ Если вручную откатить в файле Firewall.pm изменения патча описанного здесь: https://lists.proxmox.com/pipermail/pve-devel/2021-October/050598.html и перезапустить pve-firewall, служба начинает полностью корректно функционировать, настроенные правила firewall корректно отрабатывают. Похоже нужно обновить ядро pve в сборке p10, либо откатить изменения данного патча в p10. Серьезность высокая, так как при dist-upgrade перестают применяться правила firewall, при этом очевидным образом PVE отказ Firewall не регистрирует, как следствие возможно незамеченное и непредвиденное открытие доступа к серверу. 222168 1 andy 2023-02-27 16:06:16 +0300 Во-первых, почему бага повешена на версию 10.1, хотя речь идёт про 10.0, которая уже устарела? Во-вторых, при любом обновлении (а, тем более, при смене бранча) необходимо обновлять ядро (update-kernel). В-третьих, переход p10->Sisyphus в данном случае не тестировался и не поддерживается. Для стабильной работы используйте p10. 222202 2 nikizzzz 2023-02-28 07:26:26 +0300 1. Версия в /etc/os-release значится 10.1, поэтому бага повешена на 10.1 2. Касательно репозитория написал некорректно, все обновление происходило в рамках одной ветки p10, репозиторий не менялся. Ветка sysiphus не использовалась. 3. update-kernel std-def обновил ядро до 5.10.168-std-def-alt1, версия pve-firewall по прежнему 4.2.6-alt2. Проблема сохраняется с теми же симптомами. Ситуативное решение также подходит то же самое. Переходить на un-def без острой на то необходимости не хотелось бы. 222260 3 andy 2023-02-28 16:33:30 +0300 Пожалуйста, попробуйте pve-firewall из задания #315983: # apt-repo test 315983 И хотелось бы более полного описания процедуры: "произведено включение pve-firewall через WebGUI PVE", а именно, какие правила создаются, чтобы можно было воспроизвести. 222354 4 andy 2023-03-01 14:17:00 +0300 Другим способом решения проблемы является переход на ядро 5.15: update-kernel -t un-def 222362 5 nikizzzz 2023-03-01 15:31:16 +0300 Про описание процедуры с WebGUI PVE: для включения выставляю параметр Датацентр -> Брандмауэр -> Параметры -> Брандмауэр: Да. ошибка появляется в журнале pve-firewall.service даже в отсутствии каких-либо правил. Для воспроизведения достаточно создать правило блокирующее, например, icmp или ssh с какого-либо ipset (создаем ipset с 1-2 IP в WebGUI PVE). Ошибка имеет места, блокировка не срабатывает. apt-repo test 315983 - помогло, в данной сборке работает корректно, проверено с теми же ipset и через группы безопасности. Переход на 5.15 нежелателен с точки зрения консервативного использования в продакшне в будущем. Ожидается ли решение вопроса для 5.10 (например посредством добавления собранного Вами пакета релиза alt3 в репозиторий p10) или стоит смириться с необходимостью перехода на un-def? 222366 6 andy 2023-03-01 15:43:07 +0300 5.10 и 5.15 ядра являются LTS, практически с одинаковым сроком поддержки, так что переход на 5.15 никак на стабильность не повлияет. Оригинальный Proxmox поставляется с ядром 5.15. Исправления в pve-firewall отправлены в p10, но из-за тестирования попадут туда не раньше, чем через 2 недели. 222554 7 alimektor 2023-03-03 18:39:43 +0300 Воспроизведена в P10 на ALT Server 10.1. Не проверялось в Sisyphus. 222666 8 andy 2023-03-07 19:57:21 +0300 Исправлено в 4.2.6-alt3 в p10: Tue Feb 28 2023 Andrew A. Vasilyev <andy@altlinux> 4.2.6-alt3 - ipset: support old 5.10 kernel too, no bucketsize