ฉันมีเซิร์ฟเวอร์รูทเฉพาะของ Linux (Debian 7.5) โดยมีแขกตั้งค่าจำนวนมาก แขกคืออินสแตนซ์ของ KVM และรับการเข้าถึงเครือข่ายผ่านบริดจ์ - utils (NAT, IP ภายในใช้โฮสต์เป็นเกตเวย์)
เช่นหนึ่ง KVM เป็นแขกของฉัน WebServer และมันสามารถเข้าถึงได้ผ่านทางโฮสต์ IP ด้วยวิธีนี้:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
ฉันทำเช่นเดียวกันกับบริการอื่น ๆ ทำให้พวกเขาอยู่ในตัวเอง NATed และโดดเดี่ยว
แต่แขกคนหนึ่งควรจะเป็นเครือข่ายมอนิเตอร์และจะทำการตรวจสอบเครือข่าย (เช่น IDS) โดยปกติในการตั้งค่าที่ไม่ใช่เสมือนฉันจะใช้ VACLs หรือพอร์ต SPAN เพื่อสะท้อนปริมาณการใช้งาน แน่นอนภายในโฮสต์นี้ฉันไม่สามารถทำสิ่งนี้ได้อย่างง่ายดาย ( เพราะฉันไม่ต้องการใช้วิธีการสลับเสมือนที่ซับซ้อน)
- ฉันสามารถรับมิเรอร์พอร์ตโดยใช้ iptables และเปลี่ยนเส้นทางการรับส่งข้อมูลและการเข้าออกทั้งหมดไปยังผู้เยี่ยมชม KVM หนึ่งคนได้หรือไม่
vnet1
แขกผู้เข้าพักทั้งหมดมีอินเตอร์เฟซทุ่มเทเช่น - เป็นไปได้หรือไม่ที่จะเลือกการรับส่งข้อมูลตามโปรโตคอล (เช่นกฎการส่งต่อ VACL ซึ่งคว้า HTTP เท่านั้น)
- แขกจำเป็นต้องมีการตั้งค่าอินเทอร์เฟซเฉพาะเมื่อฉันต้องการเก็บไว้
vnet1
เป็นส่วนต่อประสานการจัดการ (ด้วย IP)
ฉันยินดีที่จะชี้ไปในทิศทางที่ถูกต้อง:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
ขอบคุณมาก :)
iptables
ที่ไม่ได้มีROUTE
เป้าหมายที่ดูการตอบกลับของฉันที่unix.stackexchange.com/a/174619/31228