Proxmox VE, firewall, nf_conntrack_max, nf_conntrack_count

Є Hypervisor, Proxmox VE з ввімкненим firewall на рівні Proxmox, через те, що запущені VM з Proxy сервером "Squid", і бажано обмежити доступ до потенційного доступу до локальної мережі.

Але за великої кількості підключень спрацьовують  обмеження на кількість одночасних сесій підключень.

Proxmos VE, Shell, dmesg

Для стандартних рішень з Ubuntu є змінна файлу з додавань певних рядків у  /etc/sysctl.conf, але усі значення перевизначаються і бачимо постійно значення за замовчуванням.

Not help, /etc/sysctl.conf

Але знайшов давній пост де є пропозиція використати налаштування GUI Proxmox. І це допомогло.

Proxmox VE, GUI, Node, Firewall. Options. nf_conntrack_max

Моніторинг значень - nf_conntrack_count: "watch -n 1 "cat /proc/sys/net/netfilter/nf_conntrack_count"

watch -n 1 "cat /proc/sys/net/netfilter/nf_conntrack_count"

 

Нотатка для себе. Використання TCP IP round robin для ffmpeg за допомогою SQUID Proxy

Умови

• Задача балансувати зовнішнє підключення програми ffmpeg за допомогою пулу різних IP адрес.
• Firewall server з встановленим Squid. У мене це сервер "pfSense+". 
• Мережа реальних IP адрес  /24.

 

pfSense+ Virtual IP

Налаштовую на інтерфейсі додаткові зовнішні адреси як Аліаси або Virtual IPs у pfSense. Це десять  реальних  IP.

Virtual IPs у pfSense

Squid ipv6 preffer

https://wiki.squid-cache.org/Features/IPv6

acl to_ipv6 dst ipv6

# Magic entry. Place first in your config. This makes sure Squid has the IP available.
http_access deny to_ipv6 !all

tcp_outgoing_address 10.255.0.1 !to_ipv6
tcp_outgoing_address dead:beef::1 to_ipv6

Нотатка для себе. CARP monitoring script pfsense.

Маю два сервери pfsense (2.5.1-RELEASE ) у різних віртуальних машинах з налаштованими Proxy сервер - Squid, та Virtual IP type CARP.

Virtual IP type CARP.

Задача мати на напоготові резервний Proxy сервер у випадку коли ведуться роботи на одному з гіпервізорів. 

Для цього існує пункт налаштування "Squid General Settings/CARP Status VIP", і теоретично тут достатньо вибрати у списку необхідний спільний Virtual IP. 

Але виявленні були проблеми з тим що сервіс автоматично не змінює свій стан синхронно зі зміною CARP (Master/Backup). При завантаженні завжди вмикається сервіс squid ігноруючи  /rc.start_packages: [squid] Do not start service... (CARP BACKUP/INIT).

pfSense Proxy Server - CARP Status VIP

pfSence, Squid proxy, deny acces to DMZ networks

Якщо використовувати разом з pfSence модуль Squid proxy server то існує можливість потрапляти користувачам до деяких DMZ локальних мереж.
Використовуючи локальні адреси роутера але через процес squid.
Як вихід додав до дозвіл до DMZ мережі тільки спеціальному користувачу  який пройде автентифікацію на у проксі сервері, якщо така (proxy_auth) використовується.
Для цього у Package/Proxy Server: General Settings/General , натиснути "Show Advanced Features" і у розділі
Custom Options (After Auth) додаю:

acl BlockedHost dst 10.0.0.0/8
acl SysopUser proxy_auth sysopuser
http_access allow BlockedHost SysopUser
http_access deny BlockedHost  

Де "10.0.0.0/8" - локальна мережа з DMZ, а "sysopuser" ім'я користувача котрому дозволено доступ після автентифікації до цієїї мережі.

Proxy Server, Advanced Features