ip6tables规则在OpenVZ容器中完全被忽略。

Question

我们已经在openvz上使用桥接的veth设备建立了IPv6网络。进出VEs的IPv6流量工作正常。

ip6tables在HN上工作，iptable在VE上工作。在VE中，我们可以设置ip6tables规则，没有任何错误消息。然而，他们完全被忽视了。

要使ip6tables工作，还需要哪些其他配置选项？

Answer 1

看来你在用proxmox下的容器，对吧？然后，您应该在proxmox中的图形界面上检查网络地址是否良好，并由PVE知道。

在某些情况下，pve防止使用某些iptables模块，例如：

致命:无法加载/lib/模块/4.15.18-1-PvE/Modes.dep:没有这样的文件或目录

注意:在proxmox 5上，OpenVZ容器将转换为LXC，这可能会带来一些偏差。

Answer 2

确保通过显式将规则应用于venet0接口。

Answer 3

OpenVZ容器从主机节点继承内核和模块。因此，不能在OpenVZ/LXC容器中加载新的内核模块。我将确保主机节点将ip6_tables内核模块编译到内核中或作为模块加载。

这是一个问题，因为OpenVZ是半虚拟化的，这意味着它与主机节点共享同一个内核。因为您与其他OpenVZ容器共享相同的内核，所以无法将模块加载到内核中。使用硬件虚拟机，您可以运行自己的内核，然后可以加载/卸载内核模块，或者编译自己的内核来使用。下面的问题更详细地说明了不同之处。

完全虚拟化、Para虚拟化和硬件辅助虚拟化有什么区别？

遗憾的是，当您只能访问Guest OpenVZ环境时，确定是否加载了IPv6 IPtables模块可能有点困难，因为lsmod、/proc/modules和/proc/config.gz通常不存在于OpenVZ中。

因此，您可能只需联系您的提供者，因为在主机节点上具有根访问权限的人将不得不为您加载这个内核模块。