Linux router + KVM

Martin Tiršel lk na blackpage.eu
Pondělí Únor 21 15:13:00 CET 2011


On Mon, 21 Feb 2011 14:22:50 +0100, Jan Houstek <Jan na houstek.net> wrote:

> [...]
>
> Obsah /etc/network/interfaces jsem opravdu psal od boku, pro jistotu
> konzultujte dokumentaci.
>

Toto je ok

> Neznám do detailu startup skripty Debianu, ale sysctl nastavení bych
> snažil místo echo > /proc/sys/... dávat do /etc/sysctl.conf.
>

Jj, to mi je jasne, umiestnenie teraz nieje dolezite, najprv to potrebujem  
spojazdnit, potom za sebou poupratujem :)

>> iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
>
> Maškarádovací pravidlo je vhodnější napsat specificky pouze pro routovaný
> provoz (tj. např. pomocí -s 192.168.1.0/24), takto do něj zbytečně padá i
> vlastní provoz routeru a také všelijaký bordel s podvrženou source  
> adresou
> apod.
>

ok, vdaka za info

> A z routeru na internet vše funguje? Všechny interfacy jsou up (ip link
> show)? Zkoušel jste koukat tcpdumpem na routeru na br0 a br1 (případně i
> eth0 a eth1)?
>
> Jinak ta konfigurace vypadá v pořádku.
>
> -- HH

Ano, vsetko je okrem lokal<->net v poriadku. Teraz som dal logovat  
iptables, ked z lokalu dam ping na branu za tymto serverom, tak to vyzera  
nasledovne:


Feb 21 14:31:28 mrs mangle:prerouting  IN=br1 OUT=  
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00  SRC=192.168.1.201  
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8  
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs mangle:forward  IN=br1 OUT=br0  
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00  SRC=192.168.1.201  
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8  
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs filter:forward  IN=br1 OUT=br0  
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00  SRC=192.168.1.201  
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8  
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs mangle:postrouting  IN= OUT=br0 MAC= SRC=192.168.1.201  
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8  
CODE=0 ID=2061 SEQ=9

Takze to vyzera, ze by to na br0 malo ist a problem bude niekde tu. Skusim  
este ten tcpdump.


-- 
S pozdravom,
Martin Tiršel


Další informace o konferenci Linux