<html><head><meta http-equiv="Content-Type" content="text/html charset=GB2312"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><br><div><div>在 2014年8月1日，下午7:42，Alexandre DERUMIER <<a href="mailto:aderumier@odiso.com">aderumier@odiso.com</a>> 写道：</div><br class="Apple-interchange-newline"><blockquote type="cite"><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">That mean that proxmox try to apply rules, but it don't work.</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">(maybe it's a bug in generated rules from proxmox).</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">any logs in /var/log/daemon.log ?</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">can you provide your vms,cluster and host config firewall config ?</span></blockquote></div><br><div>yes,the daemon.log link this:</div><div><a href="http://mirrors.myccdn.info/images/bug_bnx2.txt">http://mirrors.myccdn.info/images/daemon.log</a></div><div><br></div><div>It’s a cluster of host1 and host2,</div><div><br></div><div>host1 -</div><div><br></div><div>#cat <a href="http://host.fw">host.fw</a></div><div><br></div><div><div>[OPTIONS]</div><div><br></div><div>log_level_in: nolog</div><div>nf_conntrack_max: 663500</div><div>nf_conntrack_tcp_timeout_established: 7875</div><div>tcpflags: 1</div><div><br></div><div>[RULES]</div><div><br></div><div>IN ACCEPT -source +managenet</div></div><div><br></div><div>host2 - </div><div><br></div><div>#cat <a href="http://host.fw">host.fw</a></div><div><br></div><div><div>[OPTIONS]</div><div><br></div><div>enable: 1</div><div>nf_conntrack_max: 663500</div><div>nf_conntrack_tcp_timeout_established: 7875</div><div>log_level_out: nolog</div><div>tcpflags: 1</div><div>log_level_in: nolog</div><div>tcp_flags_log_level: nolog</div><div>smurf_log_level: nolog</div><div><br></div><div>[RULES]</div><div><br></div><div>IN ACCEPT -source +managenet</div></div><div><br></div><div><a href="http://100.fw">100.fw</a>,<a href="http://103.fw">103.fw</a> in the host1</div><div><div><div># cat <a href="http://100.fw">100.fw</a> </div><div>[OPTIONS]</div><div><br></div><div>enable: 1</div><div><br></div><div>[RULES]</div><div><br></div><div>IN ACCEPT -source +managenet</div></div><div><br></div><div># cat <a href="http://103.fw">103.fw</a> </div><div>[OPTIONS]</div><div><br></div><div>enable: 1</div><div>log_level_in: nolog</div><div><br></div><div>[RULES]</div><div><br></div><div>GROUP webserver</div><div>IN ACCEPT -source +managenet</div></div><div><br></div><div><a href="http://102.fw">102.fw</a> in the host2</div><div><div># cat <a href="http://102.fw">102.fw</a> </div><div>[OPTIONS]</div><div><br></div><div>log_level_in: nolog</div><div>enable: 1</div><div>policy_in: DROP</div><div>log_level_out: nolog</div><div><br></div><div>[RULES]</div><div><br></div><div>GROUP webserver</div><div>IN ACCEPT -source +managenet</div></div><div><br></div><div>## cat <a href="http://cluster.fw">cluster.fw</a> </div><div>[OPTIONS]</div><div><br></div><div>enable: 1</div><div><br></div><div>[IPSET managenet]</div><div><br></div><div>10.0.0.0/8</div><div>172.16.0.0/16</div><div>192.168.0.0/16</div><div>x.x.x.x</div><div>#many ip for management use#</div><div>n.n.n.n</div><div><br></div><div>[RULES]</div><div><br></div><div>IN ACCEPT -source +managenet</div><div><br></div><div>[group webserver]</div><div><br></div><div>IN HTTP(ACCEPT)</div><div>IN HTTPS(ACCEPT)</div><div><br></div><div><div># pveversion -v</div><div>proxmox-ve-2.6.32: 3.2-132 (running kernel: 2.6.32-31-pve)</div><div>pve-manager: 3.2-18 (running version: 3.2-18/e157399a)</div><div>pve-kernel-2.6.32-31-pve: 2.6.32-132</div><div>lvm2: 2.02.98-pve4</div><div>clvm: 2.02.98-pve4</div><div>corosync-pve: 1.4.7-1</div><div>openais-pve: 1.1.4-3</div><div>libqb0: 0.11.1-2</div><div>redhat-cluster-pve: 3.2.0-2</div><div>resource-agents-pve: 3.9.2-4</div><div>fence-agents-pve: 4.0.10-1</div><div>pve-cluster: 3.0-14</div><div>qemu-server: 3.1-28</div><div>pve-firmware: 1.1-3</div><div>libpve-common-perl: 3.0-19</div><div>libpve-access-control: 3.0-15</div><div>libpve-storage-perl: 3.0-21</div><div>pve-libspice-server1: 0.12.4-3</div><div>vncterm: 1.1-7</div><div>vzctl: 4.0-1pve6</div><div>vzprocps: 2.0.11-2</div><div>vzquota: 3.1-2</div><div>pve-qemu-kvm: 2.1-1</div><div>ksm-control-daemon: 1.1-1</div><div>glusterfs-client: 3.4.2-1</div></div><div><br></div><div><br></div></body></html>