Перестала работать сеть

0

1

После обновления kvm отвалилась сеть в гостевых vm. Внезапно виртуализации потребовался firewalld без которого вообще все перестало запускаться. После установки бридж поднялся, правила iptables добавились и все выглядит хорошо, но пакеты из гостевых машин не ходят наружу.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     anywhere            
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc

# cat /proc/sys/net/ipv4/ip_forward 
1
# virsh net-list --all
 Name                 State      Autostart     Persistent
----------------------------------------------------------
 default              active     yes           yes
# brctl show
bridge name	bridge id		STP enabled	interfaces
virbr0		8000.52540039b532	yes		virbr0-nic
							vnet0

Ссылка

←

Глоссарий

Помогите решить проблему при установке Steam

→

Спасибо за информацию, продолжай, пожалуйста, наблюдения.

post-factum ★★★★★
(01.10.18 23:11:45 MSK)

Ссылка

iptables-save

deadNightTiger ★★★★★
(02.10.18 07:48:56 MSK)

Ответ на: комментарий от deadNightTiger 02.10.18 07:48:56 MSK

А чем он здесь поможет? Клиентская ос не может получить адрес, если задать руками сетевые настройки, то ходит только icmp. Какие могут быть варианты? Что сломали в последнем обновлении?

Mr13
(02.10.18 20:58:31 MSK) автор топика

Ссылка

Нафига такие сложные правила фильтрации, если они ничего не запрещают?

А stp зачем включен?

192.168.122.0/24 - это локальная сеть или сеть для виртуалок ?

Чтобы выходить за пределы хоста нужен еще какой-нибудь сетевой интерфейс. Если нет желания заморачиваться с роутингом и NAT, то его в мост нужно пихнуть.

А если нужен роутинг, то NAT нужно как-нибудь настроить. Типа

«iptables -t nat -A POSTROUTING -o xxxxx -j MASQUERADE»

tcpdump-ом посмотри на интерфейсах.

vel ★★★★★
(02.10.18 23:14:17 MSK)

Ответ на: комментарий от vel 02.10.18 23:14:17 MSK

192.168.122.0/24 - сеть для виртуалок. Данные правила добавляются автоматом libvirtd сервисом. Ок. Очищаем все таблицы iptables и добавляем маскарадинг:

 [root@ ~ ]# iptables -t nat -v -L -n --line-number
Chain PREROUTING (policy ACCEPT 283 packets, 20913 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1 packets, 60 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 91 packets, 6105 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 88 packets, 5925 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        5   300 MASQUERADE  all  --  *      *       192.168.122.0/24     0.0.0.0/0           
[root@ ~ ]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    600    0        0 wlp58s0
192.168.1.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp58s0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

Виртуалка не может получить ip, если задать руками сетевые настройки, то пинги ходят наружу но при этом не работает резолвинг имен.

Mr13
(03.10.18 21:59:35 MSK) автор топика

Ответ на: комментарий от Mr13 03.10.18 21:59:35 MSK

А dhcp-сервер есть ?

А он слушает virbr0 ?

«netstat -ulnp | grep :67»

vel ★★★★★
(03.10.18 22:33:18 MSK)

Ответ на: комментарий от vel 03.10.18 22:33:18 MSK

DHCP сервер не ставил. Вся настройка виртуализации через virt-manager, все замечательно работало, пока не прилетело обновление.

 [root@ ~]# netstat -ulnp | grep :67
udp        0      0 0.0.0.0:67              0.0.0.0:*                           4292/dnsmasq

Mr13
(03.10.18 22:48:31 MSK) автор топика

Ответ на: комментарий от Mr13 03.10.18 22:48:31 MSK

Замечательно!

А настройках dnsmasq есть что-то типа

dhcp-range=virbr0,192.168.122.100,192.168.122.199,4h

vel ★★★★★
(03.10.18 22:54:56 MSK)

Ответ на: комментарий от vel 03.10.18 22:54:56 MSK

В настройках dnsmasq нет упоминания об virbr0 и вообще он похож на дефолтный, т.к. все закоментированно.

Mr13
(03.10.18 23:18:03 MSK) автор топика

Ответ на: комментарий от Mr13 03.10.18 23:18:03 MSK

Проблема была в firewalld. Решилось все просто - FirewallBackend=iptables

Mr13
(04.10.18 21:35:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

Глоссарий

General

Помогите решить проблему при установке Steam

→

Похожие темы