XEN - podivnost se sítí
Ondřej Tůma
konference na webjet.cz
Pátek Leden 7 12:21:53 CET 2011
Dobrý den,
jdu z Vámi takovým pěkným špekem. Mám server s XENem, na něm mám
několik hostu. Síť mám nastavenou do režimu bridge a na dom0 mám jednu
fyzickou síťovku ( k ní příslušný bridge) a pak jeden bridge čistě
virtuální, pro komunikaci některých hostů mezi sebou.
Situace je asi následující
Dom0 - eth0 (nějaká veřejná IP)
- sz0 (neveřejná bridge)
# brctl show
bridge name bridge id STP enabled interfaces
eth0 8000.000fea120f9b no peth0
veth1.19
veth1.11
veth1.12
sz0 8000.feffffffffff no veth0.19
veth0.11
domU1 má veth1.11 a veth0.11
domU2 má veth1.12
domUX má veth1.19 a veth0.19
pak by zde měl být ještě domU5 a ten bude mít
domU5 veth0.15 (takže pouze neveřejnou IP)
Vše funguje v podstatě jak má, tedy neveřejné IP se na sebe dostanou
veřejné se všude také dostanou ale:
pokud se připojím přes veřejnou IP adresy na kterýkoli domU tak je
spojení vždy navázáno z dom0 (ať už je to ssh, nebo apache). A docela
zvláštní také je, že pokud na domU2 smažu z routovací tabulky
implicitní bránu, tak se sice v hostu nikam nedostanu, ale z venčí si
na IP adresu normálně pingnu :O přihlásim se na ssh prostě z venku vše
šlape jak má...
To co mě opravdu vadí jsou ty přístupy z dom0 veřejné IP adresy. A
všechno řešit přes iptables se mě nechce, protže pak bych musel řešit
např. maškarádu u FTP a tak ... prostě to není úplně čisté :( Netušíte
někdo co s tím, napadá někoho z Vás kde by mohl být zakopaný pes ?
Ještě doplním že dom0 je: 2.6.18.8-xen0 xen-3.3.0 (slackware)
a domU je slackware nebo debian (identické chování všude)
Díky moc za tip případně radu Ondřej Tůma
Další informace o konferenci Linux