Julien's questions

当我尝试在 LXC 容器上加载一大组 iptables 规则时，我遇到了一个奇怪的问题（它在虚拟机上运行良好）。

该容器正在运行 Linux Debian 12 bookworm。

我可以配置规则并保存它们：

 /usr/sbin/netfilter-persistent save

但是，如果我尝试加载它们，我会收到此错误消息（文件长度为 694 个字符）

$ sudo  iptables-restore < /etc/iptables/rules.v4
sendmsg() failed: Message too long
iptables-restore: line 692 failed: Message too long.

奇怪的是，如果我添加详细模式，它就可以正常工作

$ sudo  iptables-restore -v < /etc/iptables/rules.v4 && echo ok
(...)
# Completed on Fri Sep 15 08:57:48 2023
ok

但是，如果我尝试加载大文件（33750 行），无论是否处于详细模式，我总是会收到“消息太长”错误。

所有加载测试都在虚拟机（相同操作系统）上正常运行。

所以我想知道 LXC 中是否存在行限制或内存限制？我尝试过玩，limits.conf但它还没有改变任何东西。

任何想法 ？

编辑以下是重现此行为的更多信息：

内核版本：

Linux xxxxxx 6.2.16-10-pve #1 SMP PREEMPT_DYNAMIC PMX 6.2.16-10 (2023-08-18T11:42Z) x86_64 GNU/Linux

一些软件包版本（来宾容器）：

ii  iptables                            1.8.9-2                                 amd64        administration tools for packet filtering and NAT
ii  iptables-persistent                 1.0.20                                  all          boot-time loader for netfilter rules, iptables plugin
ii  libip4tc2:amd64                     1.8.9-2                                 amd64        netfilter libip4tc library
ii  libip6tc2:amd64                     1.8.9-2                                 amd64        netfilter libip6tc library
ii  libnetfilter-conntrack3:amd64       1.0.9-3                                 amd64        Netfilter netlink-conntrack library
ii  libxtables12:amd64                  1.8.9-2                                 amd64        netfilter xtables library
ii  netfilter-persistent                1.0.20                                  all          boot-time loader for netfilter configuration

主机包：

ii  lxc-pve                              5.0.2-4                             amd64        Linux containers userspace tools
ii  lxcfs                                5.0.3-pve3                          amd64        LXC userspace filesystem
ii  pve-lxc-syscalld                     1.3.0                               amd64        PVE LXC syscall daemon

小规则集是：

# Generated by iptables-save v1.8.9 (nf_tables) on Fri Sep 15 08:57:48 2023
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:block_spam2 - [0:0]
:block_spam1 - [0:0]
:block_spam3 - [0:0]
:incoming_net - [0:0]
:sensitive_daemons - [0:0]
-A INPUT -j block_spam1
-A INPUT -j block_spam2
-A INPUT -j block_spam3
-A INPUT -j sensitive_daemons
-A INPUT -j incoming_net
-A INPUT -j sensitive_daemons
-A block_spam2 -s 1.0.1.0/24 -j DROP
-A block_spam2 -s 84.22.192.0/19 -j DROP
-A block_spam1 -s 103.39.156.0/22 -j DROP
-A block_spam1 -s 5.255.220.0/22 -j DROP
-A block_spam3 -s 87.245.234.136/32 -j DROP
-A block_spam3 -s 217.199.224.0/19 -j DROP
[...] 675 lines here : block_spam[1-3] with a uniq ip address [...]
-A incoming_net -d 192.168.1.248/29 -p tcp -m tcp --dport 80 -j ACCEPT
-A incoming_net -d 192.168.1.248/29 -p tcp -m tcp --dport 443 -j ACCEPT
-A incoming_net -d 192.168.1.248/29 -p tcp -j DROP
-A sensitive_daemons -s 192.168.1.248/29 -p tcp -m tcp --dport 22 -j DROP
-A sensitive_daemons -s 192.168.1.0/24 -d 192.168.1.24/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A sensitive_daemons -p tcp -m tcp --dport 22 -j DROP
COMMIT
# Completed on Fri Sep 15 08:57:48 2023

我面临一个奇怪的 ipv6 行为，我不知道如何解决它，因为我不熟悉 ipv6。也许这种行为是正常的。我希望你能帮助我。（我正在使用自定义内核 3.2.58 在 debian 6.0.9 下运行）

机器 A 是“2a00:7d30:edf6:100::1”想要 ping 机器 B，即“2a00:7d30:edf6:100::10”。两者都在同一段。

机器 A 询问机器 B 的地址，但我不明白为什么机器 B 给出其全局范围地址而不是本地范围地址？

10:59:02.082785 IP6 2a00:7d30:edf6:100::1 > ff02::1:ff00:10: ICMP6, 邻居请求, 谁有 2a00:7d30:edf6:100::10, 长度 32

10:59:02.082821 IP6 2a00:7d30:edf6:100::10 > 2a00:7d30:edf6:100::1: ICMP6，邻居通告，tgt 为 2a00:7d30:edf6:100::10，长度 32

在那台机器 A ping 机器 B 的全局范围地址之后，它工作正常：

10:59:02.082927 IP6 2a00:7d30:edf6:100::1 > 2a00:7d30:edf6:100::10：ICMP6，回显请求，seq 1，长度 64

10:59:02.082960 IP6 2a00:7d30:edf6:100::10 > 2a00:7d30:edf6:100::1: ICMP6，回显回复，seq 1，长度 64

谢谢你帮助朱利安最好的问候