Przekazywanie ruchu do określonego adresu IP gościowi KVM


2

Mam serwer Debian 7 z 5 publicznymi adresami IP. Na serwerze mam kilku gości KVM (wszystkie Debian 8). Jeden z gości musi być publicznie dostępny za pomocą jednego z publicznych adresów IP. Ten ma adres IP, 192.168.122.133a wszyscy inni goście mają adresy IP w zasięgu 192.168.122.50/28.

Obecnie skonfigurowałem go tak, aby goście mogli się ze sobą komunikować, jednak zewnętrzne połączenia przychodzące i wychodzące zawodzą z gościem, który musi być publicznie dostępny (działają tylko połączenia z sieci lokalnej).

Są to zasady, które moim zdaniem powinny przekazywać cały ruch przychodzący i wychodzący do iz tego gościa, ale wydaje się, że nie robi tego, co powinien:

/sbin/iptables -t nat -I PREROUTING -d 111.111.111.133 -j DNAT --to 192.168.122.133
/sbin/iptables -t nat -I POSTROUTING -s 192.168.122.133 -j SNAT --to 111.111.111.133
/sbin/iptables -t filter -I FORWARD -d 192.168.122.133 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -s 192.168.122.133 -j ACCEPT

Wcześniej miałem tę konfigurację i wierzę, że kiedyś działała poprawnie, ale mogłem coś zmienić lub jakaś aktualizacja systemu mogła coś zmienić, a teraz nie działa.

Więcej informacji:

Sieć KVM jest skonfigurowana:

<network>
  <name>default</name>
  <uuid>261764e8-ef0c-dc57-90b5-4c356ae12bf1</uuid>
  <forward mode='nat'/>
  <bridge name='virbr0' stp='on' delay='0' />
  <mac address='52:54:00:77:D9:2B'/>
  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254' />
    </dhcp>
  </ip>
</network>

Konfiguracje sieci gościa są takie:

<interface type='network'>
  <mac address='52:54:00:61:d9:ba'/>
  <source network='default'/>
  <model type='virtio'/>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

Oto mój / etc / network / interfaces na serwerze hosta:

# The loopback network interface
auto lo

auto eth3
auto eth3:0
auto eth3:1
auto eth3:2
auto eth3:3

iface lo inet loopback

# The primary network interface
allow-hotplug eth3
iface eth3 inet static
        address 111.111.111.130
        netmask 255.255.255.248
        network 111.111.111.128
        broadcast 111.111.111.135
        gateway 111.111.111.129
        dns-nameservers 8.8.8.8 8.8.4.4 127.0.0.1

iface eth3:0 inet static
    address 111.111.111.131
    netmask 255.255.255.248

iface eth3:1 inet static
    address 111.111.111.132
    netmask 255.255.255.248

iface eth3:2 inet static
    address 111.111.111.133
    netmask 255.255.255.248

iface eth3:3 inet static
    address 111.111.111.134
    netmask 255.255.255.248

Goście są skonfigurowani ze statycznymi adresami IP. Na przykład:

iface eth0 inet static
    address 192.168.122.133
    netmask 255.255.255.0
    network 192.168.122.0
    broadcast 192.168.122.255
    gateway 192.168.122.1
    dns-nameservers 192.168.122.1

Wierzę, że właśnie to pozwala gościom, którzy nie powinni być dostępni z Internetu, na dostęp do Internetu (dostosowany stąd ) - zauważ, że mają nieco inny zakres adresów IP:

/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p tcp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p udp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -j MASQUERADE
/sbin/iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.122.50/28 -i virbr0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -s 192.168.122.50/28 -i virbr0 -j ACCEPT

Odpowiedzi:


0

Rozwiązaniem było dodanie interfejsu pomostowego /etc/networking/interfaces, który został jakoś skomentowany. Dołączyłem następujące:

auto br0 
iface br0 inet static
    address 111.111.111.133
    netmask 255.255.255.248
    bridge_ports eth3
    bridge_stp on
    bridge_fd 0
    bridge_maxwait 0

A potem pobiegł, ifup br0aby uruchomić interfejs.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.