讓 Proxmox VE 允許非對稱路由

前言

在玩網路的過程中經歷了很多挑戰跟阻礙,大部分 BGP Player 會將自己的網路主機放在 Proxmox VE 裡面。但開了很多隧道、接了很多上游之後,發現有時候網路並不會通。其中一個原因可能就是因為 Proxmox VE 預設不會允許非對稱路由,因此這篇文章就來講講如何在 Proxmox VE 允許非對稱路由。

解決方法

以下提供兩種解決方式,都會有優缺點,就自己選擇囉。

關閉資料中心級防火牆

最簡易的方式,就是直接關閉資料中心級的防火牆,這樣一來 Proxmox VE 就不會使用預設防火牆規則來干涉你的流量。當然有些人認為這會比較不安全,但我只能說這方法簡單粗暴。

001.jpg

編輯主機防火牆設定檔

而另一種方式,我們需要打開 SSH 來編輯,並前往 /etc/pve/nodes/pve1 目錄,而最後面的 pve1 則是這台 Proxmox VE 的主機名稱,請自行更改。

cd /etc/pve/nodes/pve1

編輯 host.fw 檔案,如果沒有就新建一個。

vim host.fw

貼上以下內容。

[OPTIONS]

nf_conntrack_allow_invalid: 1

保存離開之後,你的主機就會開始允許非對稱路由囉。

但之前詢問朋友時,他說這個做法會有個壞處:使用這個方式雖然允許了,但是 Proxmox VE 仍然會持續 Conntrack,因此性能會下降。