После установки Альт 10 Сервер Виртуализации, настройки репозитория sysiphus, dist-upgrade, перезагрузки сервера и базовой настройки PVE произведено включение pve-firewall через WebGUI PVE. С точки зрения PVE все в порядке, но Firewall не работает (даже дефолтовый DROP). Если посмотреть состояние сервиса (systemctl status pve-firewall.service), видим повторяющуюся ошибку: status update error: ipset_restore_cmdlist: Try `ipset help' for more information. ipset list не возвращает ничего, хотя настройки ipset через WebGUI в наличии. Ядро pve после обновления 5.10.88-std-def-alt1. Версия pve-firewall 4.2.6-alt2. Беглый поиск дает следующие ссылки: https://forum.proxmox.com/threads/proxmox-7-1-8-firewall-ipset_restore_cmdlist.103372/ https://forum.proxmox.com/threads/blocking-traffic-in-between-vms.102101/ Если вручную откатить в файле Firewall.pm изменения патча описанного здесь: https://lists.proxmox.com/pipermail/pve-devel/2021-October/050598.html и перезапустить pve-firewall, служба начинает полностью корректно функционировать, настроенные правила firewall корректно отрабатывают. Похоже нужно обновить ядро pve в сборке p10, либо откатить изменения данного патча в p10. Серьезность высокая, так как при dist-upgrade перестают применяться правила firewall, при этом очевидным образом PVE отказ Firewall не регистрирует, как следствие возможно незамеченное и непредвиденное открытие доступа к серверу.
Во-первых, почему бага повешена на версию 10.1, хотя речь идёт про 10.0, которая уже устарела? Во-вторых, при любом обновлении (а, тем более, при смене бранча) необходимо обновлять ядро (update-kernel). В-третьих, переход p10->Sisyphus в данном случае не тестировался и не поддерживается. Для стабильной работы используйте p10.
1. Версия в /etc/os-release значится 10.1, поэтому бага повешена на 10.1 2. Касательно репозитория написал некорректно, все обновление происходило в рамках одной ветки p10, репозиторий не менялся. Ветка sysiphus не использовалась. 3. update-kernel std-def обновил ядро до 5.10.168-std-def-alt1, версия pve-firewall по прежнему 4.2.6-alt2. Проблема сохраняется с теми же симптомами. Ситуативное решение также подходит то же самое. Переходить на un-def без острой на то необходимости не хотелось бы.
Пожалуйста, попробуйте pve-firewall из задания #315983: # apt-repo test 315983 И хотелось бы более полного описания процедуры: "произведено включение pve-firewall через WebGUI PVE", а именно, какие правила создаются, чтобы можно было воспроизвести.
Другим способом решения проблемы является переход на ядро 5.15: update-kernel -t un-def
Про описание процедуры с WebGUI PVE: для включения выставляю параметр Датацентр -> Брандмауэр -> Параметры -> Брандмауэр: Да. ошибка появляется в журнале pve-firewall.service даже в отсутствии каких-либо правил. Для воспроизведения достаточно создать правило блокирующее, например, icmp или ssh с какого-либо ipset (создаем ipset с 1-2 IP в WebGUI PVE). Ошибка имеет места, блокировка не срабатывает. apt-repo test 315983 - помогло, в данной сборке работает корректно, проверено с теми же ipset и через группы безопасности. Переход на 5.15 нежелателен с точки зрения консервативного использования в продакшне в будущем. Ожидается ли решение вопроса для 5.10 (например посредством добавления собранного Вами пакета релиза alt3 в репозиторий p10) или стоит смириться с необходимостью перехода на un-def?
5.10 и 5.15 ядра являются LTS, практически с одинаковым сроком поддержки, так что переход на 5.15 никак на стабильность не повлияет. Оригинальный Proxmox поставляется с ядром 5.15. Исправления в pve-firewall отправлены в p10, но из-за тестирования попадут туда не раньше, чем через 2 недели.
Воспроизведена в P10 на ALT Server 10.1. Не проверялось в Sisyphus.
Исправлено в 4.2.6-alt3 в p10: Tue Feb 28 2023 Andrew A. Vasilyev <andy@altlinux> 4.2.6-alt3 - ipset: support old 5.10 kernel too, no bucketsize
