OpenVZコンテナー内でip6tablesルールが完全に無視される

ブリッジされたvethデバイスを使用して、openvzにIPv6ネットワーキングをセットアップしました。VEとの間のIPv6トラフィックは正常に機能します。

ip6tablesはHNで動作し、iptablesはVEで動作します。VE内で、エラーメッセージなしでip6tablesルールを設定できます。ただし、完全に無視されます。

ip6tablesが機能するために必要な追加の構成オプションは何ですか？

あなたはproxmoxの下でコンテナを使用しているようですね？次に、proxmoxのグラフィカルインターフェイスからnetworkdアドレスが正しく、PVEによって
認識されていることを確認する必要があります。場合によっては、pveが一部のiptablesモジュールを使用
できないようにします。例：FATAL：/lib/modules/4.15.18-1-をロードできませんでしたpve / modules.dep：そのようなファイルまたはディレクトリはありません

注： proxmox 5では、OpenVZコンテナーはLXCに変換されます。これにより、バイアスが生じる可能性があります

明示的にvenet0インターフェイスにルールを適用していることを確認してください。

OpenVZコンテナーは、ホストノードからカーネルとモジュールを継承します。このため、OpenVZ / LXCコンテナに新しいカーネルモジュールをロードできません。ホストノードにip6_tablesカーネルモジュールがカーネルにコンパイルされているか、モジュールとしてロードされていることを確認します。

OpenVZは準仮想化であるため、これは問題です。つまり、ホストノードと同じカーネルを共有します。他のOpenVZコンテナーと同じカーネルを共有しているため、モジュールをカーネルにロードできません。ハードウェア仮想マシンを使用すると、独自のカーネルを実行して、カーネルモジュールをロード/アンロードしたり、独自のカーネルをコンパイルして使用したりできます。以下にリンクされている質問は、違いをより詳細にカバーしています。

フル、パラ、ハードウェアによる仮想化の違いは何ですか？

悲しいことにIPv6のiptablesのモジュールがロードされている場合にのみ、ユーザーレビューOpenVZの環境へのアクセスが決定したときに少し難しいようにすることができlsmod、/proc/modulesと/proc/config.gz 多くの場合、 OpenVZの内側に存在していません。

このため、ホストノードのルートアクセス権を持つユーザーがこのカーネルモジュールをロードする必要があるため、プロバイダーに連絡する必要がある場合があります。