Iptables üzerinden Ayna Bağlantı Noktası


11

Bir dizi konuk ayarlanmış özel bir Linux (Debian 7.5) kök sunucum var. Misafirler KVM örneğidir ve köprü araçları aracılığıyla ağ erişimi elde eder (NAT, dahili IP'ler, ana bilgisayarı ağ geçidi olarak kullanır).

Örneğin, bir KVM benim WebServer misafirim ve ana bilgisayar IP'si üzerinden şu şekilde erişilebilir:

    iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z 
--dport 80 -j DNAT --to-destination  192.168.100.X:80 

Aynı şeyi diğer hizmetler için de yaparım, onları bağımsız, doğal ve yalıtılmış tutar.

Ancak bir misafirin bir ağ monitörü olması ve ağ trafiği denetimini (IDS gibi) gerçekleştirmesi gerekir. Genellikle, sanal olmayan bir kurulumda trafiği yansıtmak için VACL'leri veya SPAN bağlantı noktalarını kullanırdım. Tabii ki, bu ev sahibinin içinde bunu yapamam ( kolay , çünkü karmaşık sanal anahtarlama yaklaşımlarını kullanmak istemiyorum).

  1. Iptables kullanarak bir port aynası alabilir ve tüm giriş ve çıkış trafiğini bir KVM misafirine yönlendirebilir miyim? Tüm misafirlerin özel bir arayüzü vardır vnet1.
  2. Protokole bağlı olarak trafiği seçici olarak iletmek mümkün mü (yalnızca HTTP'yi alan bir VACL iletme kuralı gibi)?
  3. vnet1(IP ile) bir yönetim arayüzü olarak tutmam gerektiğinde konukların belirli bir arayüz kurulumuna ihtiyacı var mı?

Doğru yönde bir nokta için mutlu olurum:

iptables         1.4.14-3.1
linux            3.2.55
bridge-utils     1.5-6

Çok teşekkürler :)

Yanıtlar:


14

root server pre-Routing modülünü öncelemeye ne dersiniz?

iptables -I PREROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

ve sonra Yönlendirme Sonrası modülü Mangle tablosu kurallarını

iptables -I POSTROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee 

burada 192.168.200.1 ağ izleyicisidir.

Bu kurallar, gelen ve giden trafiğin tamamını 192.168.200.1'e yönlendirecek

Düzenle:

mangle table specific
  -j ROUTE            (explicitly route packets, valid at PREROUTING)
      options:
      --iface <iface_name>
      --ifindex <iface_idx> 

ama aynı zamanda

iptables -I PREROUTING –t mangle –i eth0 –j TEE –gateway 192.168.200.1

ve

iptables -I POSTROUTING –t mangle –j TEE –gateway 192.168.200.1

nerede TEEşimdi bir hedeftir PREROUTINGyani gibi diğer seçenekleri alır -i, -pvb


Daha yeni sürümleri kullanan NB'den SE'ye okuyucuların iptablesartık ROUTEhedefi unix.stackexchange.com/a/174619/31228 adresindeki cevabımı görmesini istemiyorum .
Jonathan Ben-Avraham
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.