Bir dizi konuk ayarlanmış özel bir Linux (Debian 7.5) kök sunucum var. Misafirler KVM örneğidir ve köprü araçları aracılığıyla ağ erişimi elde eder (NAT, dahili IP'ler, ana bilgisayarı ağ geçidi olarak kullanır).
Örneğin, bir KVM benim WebServer misafirim ve ana bilgisayar IP'si üzerinden şu şekilde erişilebilir:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
Aynı şeyi diğer hizmetler için de yaparım, onları bağımsız, doğal ve yalıtılmış tutar.
Ancak bir misafirin bir ağ monitörü olması ve ağ trafiği denetimini (IDS gibi) gerçekleştirmesi gerekir. Genellikle, sanal olmayan bir kurulumda trafiği yansıtmak için VACL'leri veya SPAN bağlantı noktalarını kullanırdım. Tabii ki, bu ev sahibinin içinde bunu yapamam ( kolay , çünkü karmaşık sanal anahtarlama yaklaşımlarını kullanmak istemiyorum).
- Iptables kullanarak bir port aynası alabilir ve tüm giriş ve çıkış trafiğini bir KVM misafirine yönlendirebilir miyim? Tüm misafirlerin özel bir arayüzü vardır
vnet1
. - Protokole bağlı olarak trafiği seçici olarak iletmek mümkün mü (yalnızca HTTP'yi alan bir VACL iletme kuralı gibi)?
vnet1
(IP ile) bir yönetim arayüzü olarak tutmam gerektiğinde konukların belirli bir arayüz kurulumuna ihtiyacı var mı?
Doğru yönde bir nokta için mutlu olurum:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
Çok teşekkürler :)
iptables
artıkROUTE
hedefi unix.stackexchange.com/a/174619/31228 adresindeki cevabımı görmesini istemiyorum .