XEN - podivnost se sítí

[Ondřej Tůma]

Dobrý den,

jdu z Vámi takovým pěkným špekem. Mám server s XENem, na něm mám
několik hostu. Síť mám nastavenou do režimu bridge a na dom0 mám jednu
fyzickou síťovku ( k ní příslušný bridge) a pak jeden bridge čistě
virtuální, pro komunikaci některých hostů mezi sebou.

Situace je asi následující
Dom0 - eth0 (nějaká veřejná IP)
     - sz0 (neveřejná bridge)

# brctl show
bridge name	bridge id		STP enabled interfaces
eth0		8000.000fea120f9b	no		peth0
							veth1.19
							veth1.11
							veth1.12
sz0		8000.feffffffffff	no		veth0.19
							veth0.11

domU1 má veth1.11 a veth0.11
domU2 má veth1.12
domUX má veth1.19 a veth0.19

pak by zde měl být ještě domU5 a ten bude mít
domU5 veth0.15 (takže pouze neveřejnou IP)

Vše funguje v podstatě jak má, tedy neveřejné IP se na sebe dostanou
veřejné se všude také dostanou ale:

pokud se připojím přes veřejnou IP adresy na kterýkoli domU tak je
spojení vždy navázáno z dom0 (ať už je to ssh, nebo apache). A docela
zvláštní také je, že pokud na domU2 smažu z routovací tabulky
implicitní bránu, tak se sice v hostu nikam nedostanu, ale z venčí si
na IP adresu normálně pingnu :O přihlásim se na ssh prostě z venku vše
šlape jak má...

To co mě opravdu vadí jsou ty přístupy z dom0 veřejné IP adresy. A
všechno řešit přes iptables se mě nechce, protže pak bych musel řešit
např. maškarádu u FTP a tak ... prostě to není úplně čisté :( Netušíte
někdo co s tím, napadá někoho z Vás kde by mohl být zakopaný pes ?

Ještě doplním že dom0 je: 2.6.18.8-xen0 xen-3.3.0 (slackware)
a domU je slackware nebo debian (identické chování všude)

Díky moc za tip případně radu Ondřej Tůma