From 346050efbb1bc30854b2ecc92409fd47de060af7 Mon Sep 17 00:00:00 2001
From: Cat Tom <cattom@cattom.site>
Date: Tue, 24 Mar 2026 17:09:00 +0800
Subject: [PATCH] Edit Proxmox-9-Install-and-Configuration

---
 .../Proxmox-9-Install-and-Configuration.md    | 45 ++++++++++++++++++-
 1 file changed, 44 insertions(+), 1 deletion(-)

diff --git a/docs/tech/Proxmox-9-Install-and-Configuration.md b/docs/tech/Proxmox-9-Install-and-Configuration.md
index b3b4e25..d02b004 100644
--- a/docs/tech/Proxmox-9-Install-and-Configuration.md
+++ b/docs/tech/Proxmox-9-Install-and-Configuration.md
@@ -96,6 +96,49 @@ curl -fsSL https://tailscale.com/install.sh | sh
 tailscale up --authkey [tailscale-auth-key]
 ```
 
+## 防火墙
+
+宿主机设置防火墙不会影响虚拟机网络。只要使用 Proxmox 自带的防火墙功能，就不会影响虚拟机的网络。
+
+PVE 的网络是基于网桥的。宿主机的控制面板（8006端口）走的是 **INPUT** 链（进入宿主机本身的数据），而虚拟机的网络流量走的是 **FORWARD** 链（只是路过宿主机，直接转发给虚拟机）。PVE 的自带防火墙对这两部分是严格隔离管理的。
+
+千万不要在 PVE 宿主机上安装和使用 `ufw`（Ubuntu常用的简单防火墙）！`ufw` 会强行修改底层的 iptables 规则，这会瞬间切断并破坏 `vmbr0` 网桥，导致你所有的虚拟机立刻断网。**在 PVE 上，永远只用它自带的网页端防火墙机制。**
+
+假设你的局域网 IP 段是 `192.168.1.0/24`（请根据你实际的路由器网段调整，比如 192.168.0.0/24 或 192.168.50.0/24）。
+
+### 设置防火墙规则
+
+- 在左侧导航栏点击顶部你的 **数据中心**。
+- 在中间栏找到并点击 **防火墙**。
+- **添加放行规则**: 
+    - 点击上方的 **添加**
+    - **方向**: `in`
+    - **操作**: `ACCEPT`
+    - **源地址**: `192.168.1.0/24`
+    - 点击 **添加**
+- **添加阻断规则**: 
+    - 再次点击 **添加**
+    - **方向**: `in`
+    - **操作**: `DROP`
+    -  **源地址**: **留空** (留空代表所有 IP，即 `0.0.0.0/0`)
+    -  点击 **添加**
+
+*注意：PVE 防火墙规则是从上往下匹配的，所以**允许内网的规则必须在拒绝所有的规则上方**，确认无误后再启用规则。*
+
+### 启用防火墙
+
+**在节点层级启用**:
+
+- 点击左侧你的服务器节点（比如你命名为 `pve` 的那台机器）。
+- 进入 **防火墙** -> **选项**。
+- 双击 **防火墙**，将其设置为 `是`。
+
+**在数据中心层级启用**:
+
+- 回到最顶部的 **数据中心**。
+- 进入 **防火墙** -> **选项**。
+- 双击 **防火墙**，将其设置为 `是`。
+
 ## LVM 存储扩容
 
 ### 将旧硬盘的数据迁移到新硬盘
@@ -115,7 +158,7 @@ tailscale up --authkey [tailscale-auth-key]
 
 ### 扩容 LVM 存储
 
-#### 前置步骤: 扩展物理分区和 PV (物理卷)
+#### 扩展物理分区和 PV (物理卷)
 
 1. **确定分区情况**: