Bug 45399

Summary: После dist-upgrade с репозитория p10 не работает pve-firewall
Product: Branch p10 Reporter: Никита <nikizzzz>
Component: pve-firewallAssignee: Alexey Shabalin <shaba>
Status: CLOSED FIXED QA Contact: qa-p10 <qa-p10>
Severity: major    
Priority: P5 CC: alimektor, andy
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description Никита 2023-02-27 12:44:06 MSK 
После установки Альт 10 Сервер Виртуализации, настройки репозитория sysiphus, dist-upgrade, перезагрузки сервера и базовой настройки PVE произведено включение pve-firewall через WebGUI PVE.
С точки зрения PVE все в порядке, но Firewall не работает (даже дефолтовый DROP).
Если посмотреть состояние сервиса  (systemctl status pve-firewall.service), видим повторяющуюся ошибку:
status update error: ipset_restore_cmdlist: Try `ipset help' for more information.

ipset list не возвращает ничего, хотя настройки ipset через WebGUI в наличии.

Ядро pve после обновления 5.10.88-std-def-alt1. Версия pve-firewall 4.2.6-alt2.
Беглый поиск дает следующие ссылки:
https://forum.proxmox.com/threads/proxmox-7-1-8-firewall-ipset_restore_cmdlist.103372/
https://forum.proxmox.com/threads/blocking-traffic-in-between-vms.102101/

Если вручную откатить в файле Firewall.pm изменения патча описанного здесь:
https://lists.proxmox.com/pipermail/pve-devel/2021-October/050598.html
и перезапустить pve-firewall, служба начинает полностью корректно функционировать, настроенные правила firewall корректно отрабатывают.

Похоже нужно обновить ядро pve в сборке p10, либо откатить изменения данного патча в p10.

Серьезность высокая, так как при dist-upgrade перестают применяться правила firewall, при этом очевидным образом PVE отказ Firewall не регистрирует, как следствие возможно незамеченное и непредвиденное открытие доступа к серверу.
Comment 1 Andrew Vasilyev 2023-02-27 16:06:16 MSK 
Во-первых, почему бага повешена на версию 10.1, хотя речь идёт про 10.0,
которая уже устарела?
Во-вторых, при любом обновлении (а, тем более, при смене бранча)
необходимо обновлять ядро (update-kernel).
В-третьих, переход p10->Sisyphus в данном случае не тестировался и
не поддерживается. Для стабильной работы используйте p10.
Comment 2 Никита 2023-02-28 07:26:26 MSK 
1. Версия в /etc/os-release значится 10.1, поэтому бага повешена на 10.1
2. Касательно репозитория написал некорректно, все обновление происходило в рамках одной ветки p10, репозиторий не менялся. Ветка sysiphus не использовалась.
3. update-kernel std-def обновил ядро до 5.10.168-std-def-alt1, версия pve-firewall по прежнему 4.2.6-alt2. 

Проблема сохраняется с теми же симптомами. Ситуативное решение также подходит то же самое.

Переходить на un-def без острой на то необходимости не хотелось бы.
Comment 3 Andrew Vasilyev 2023-02-28 16:33:30 MSK 
  Пожалуйста, попробуйте pve-firewall из задания #315983:

# apt-repo test 315983

  И хотелось бы более полного описания процедуры:
  "произведено включение pve-firewall через WebGUI PVE",
  а именно, какие правила создаются, чтобы можно было воспроизвести.
Comment 4 Andrew Vasilyev 2023-03-01 14:17:00 MSK 
  Другим способом решения проблемы является переход на ядро 5.15:
  update-kernel -t un-def
Comment 5 Никита 2023-03-01 15:31:16 MSK 
Про описание процедуры с WebGUI PVE:
для включения выставляю параметр
Датацентр -> Брандмауэр -> Параметры -> Брандмауэр: Да.

ошибка появляется в журнале pve-firewall.service даже в отсутствии каких-либо правил. Для воспроизведения достаточно создать правило блокирующее, например, icmp или ssh с какого-либо ipset (создаем ipset с 1-2 IP в WebGUI PVE). Ошибка имеет места, блокировка не срабатывает.

apt-repo test 315983 - помогло, в данной сборке работает корректно, проверено с теми же ipset и через группы безопасности.

Переход на 5.15 нежелателен с точки зрения консервативного использования в продакшне в будущем.

Ожидается ли решение вопроса для 5.10 (например посредством добавления собранного Вами пакета релиза alt3 в репозиторий p10) или стоит смириться с необходимостью перехода на un-def?
Comment 6 Andrew Vasilyev 2023-03-01 15:43:07 MSK 
5.10 и 5.15 ядра являются LTS, практически с одинаковым сроком поддержки,
так что переход на 5.15 никак на стабильность не повлияет. Оригинальный
Proxmox поставляется с ядром 5.15.

Исправления в pve-firewall отправлены в p10, но из-за тестирования
попадут туда не раньше, чем через 2 недели.
Comment 7 Evgeny Shesteperov 2023-03-03 18:39:43 MSK 
Воспроизведена в P10 на ALT Server 10.1. Не проверялось в Sisyphus.
Comment 8 Andrew Vasilyev 2023-03-07 19:57:21 MSK 
  Исправлено в 4.2.6-alt3 в p10:

 Tue Feb 28 2023 Andrew A. Vasilyev <andy@altlinux> 4.2.6-alt3
 - ipset: support old 5.10 kernel too, no bucketsize