Ho un server root Linux (Debian 7.5) dedicato, con un numero di guest impostato. Gli ospiti sono istanze KVM e ottengono l'accesso alla rete tramite bridge-utils (NAT, IP interni, utilizzano l'host come gateway).
Ad esempio, un KVM è il mio ospite WebServer e diventa accessibile tramite l'IP host in questo modo:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
Faccio lo stesso con altri servizi, mantenendoli autonomi, NATed e isolati.
Ma un ospite dovrebbe essere un monitor di rete e deve eseguire l'ispezione del traffico di rete (come un IDS). Di solito, in una configurazione non virtuale, utilizzerei le porte VACL o SPAN per rispecchiare il traffico. Naturalmente, all'interno di questo host, non posso farlo ( facilmente , perché non voglio usare approcci di commutazione virtuale complessi).
- Posso ottenere un mirroring della porta usando iptables e reindirizzare tutto il traffico in ingresso e in uscita a un guest KVM? Tutti gli ospiti hanno un'interfaccia dedicata, come
vnet1
. - È possibile inoltrare selettivamente il traffico, in base al protocollo (come una regola di inoltro VACL, che acquisisce solo HTTP)?
- gli ospiti hanno bisogno di una specifica configurazione dell'interfaccia, quando devo mantenerla
vnet1
come interfaccia di gestione (con un IP)?
Sarei felice per un punto nella giusta direzione:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
Molte grazie :)
iptables
che non hanno più l'ROUTE
obiettivo, vedere la mia risposta su unix.stackexchange.com/a/174619/31228 .