На ovh арендован сервак на нем pve. Фв включен на дц-кластере-машине. Правила настроены группой на ВМ. На интерфейсе галочка фв стоит. Если правила настраиваю на вм (в иптаблес) - все быстро. Если на pve-fw, то порты netcatом корректно показывает (где надо открыты, где нет - закрыты), но отклика почти нет. Правила на ссх, веб порты, порты бд, днс, пинга, разрешены для определенных ИП, для остальных закрыто. Бридж на пве. Цепочка инпут - drop, правила на accept, output - accept

Пве-фв медленный/проблемно соединяет при бридже пве<->хост-сервер, а делаем мы это для того, чтобы не рулить иптаблес в отдельных виртуалках, верно? Но при этом фв отдельных виртуалок при отключённом фв пве работают быстрее. Вывести виртуалки в отдельную сеть и сделать нат стоит попробовать.

А правила для хостов делали или для ноды? Конфиг пве-фв в студию на пейстбин) (sensivity data потрите)

А, вижу, для вм

«На интерфейсе галочка стоит» - вот тут не понял. Это на бридже? Может оказаться, что это интра-бридж фв

Да, на интерфейсе, который пробрасывается на ВМ(тот самый бридж) без него фв вообще не работает, и написанно, что надо включать. К конфигам щас нет доступа, не дома, но там все дефолтно. С ip xxx на порт 22 accept, и так для днс, веб портов и парочка кастомных. По умолчанию input - drop. За натом не спрятать, у  каждой вм свой ИП. Больше не понятно, одни и те же правила, а эффект разный. Ощущение что и правда как выше написали дело в mtu или в connection state

Чтобы мту был корректный надо на инпут разрешить ицмп, так, на минуточку))

Причем везде

Поскольку у мту есть автоконфигурация, емнип, как раз средствами ицмп

Поскольку бридж - уточню глупость: адреса вм из той же сети, с которой бриджуете?

Если из разных - могут быть проблемы

Посты с ссылками удаляются?)

Я понял уже)

Ага

Суть понял

Из разных, согласно настройкам хостинга прописал как в из гайде на центосе, а исмп на уровне ДЦ разрешен

Тут уж без конфига не навангую. Если внутри бриджеванных виртуалок с разными адресам фв работает намана, а пве-фв, повешенный на вм не работает, то точно нужно смотреть детали. Ну ещё можно настроить пве-фв не на вм, а на саму ноду) (режим host) и посмотреть, что будет, лел

Спасибо) жаль щас не могу за неимением доступа. Я ставил на году, дополняя destination ip. Меня во всем этом смущает только одно. На одной из ВМ крутиться Веста, с иптаблесов настроенным (в данный момент офф). Так вот там input drop, и те же настройки , что и на пве-фв. И все прекрасно). Отсюда мой вывод что я где-то криворучу в настройках, но не пойму в каких), но явно не в правилах. Буду копать по наводкам выше)

Хорошее замечание, надо добавить в правила оформления проблемы) (про чувствительные данные в логах)

Тут такое, инпут дроп хорошо, но что-то выше разрешить надо бывает, ипсек тот же) а банить ицмп - вообще бэд практис и нужно эпизодически в отдельных случаях для отдельных типов пакетов, хотя я и не сталкивался. А так вообще на отчасти на нем весь интернет работает)