XEN - podivnost se sítí
Ondřej Tůma
konference na webjet.cz
Pátek Leden 7 14:55:28 CET 2011
Dne Fri, 7 Jan 2011 13:58:19 +0100 (MET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> napsal(a):
> On Fri, 7 Jan 2011, Ondřej Tůma wrote:
>
> > pokud se připojím přes veřejnou IP adresy na kterýkoli domU tak je
> > spojení vždy navázáno z dom0 (ať už je to ssh, nebo apache).
>
> Nemáte tam nějaký kejkl s ebtables, který způsobí, že
ebtables ani arptables nainstalovaný nemám
> Zdá se, že dom0 místo bridžování udělá routování kombinované s SNATem.
> Teď je otázka, proč to dělá. Co je na dom0 v iptables? Nemáte tam
> nějaké kejkle s arptables nebo ebtables? Přicházejí pakety zvenčí
> určitě přes peth0 -- není tam nějaký další interfejs? Jakou MAC
> adresu mají domU podle jiných strojů?
iptables jsou tyto:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.0.0.19 0.0.0.0/0 PHYSDEV
match --physdev-in veth0.19
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in veth1.19
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in veth0.19 udp spt:68 dpt:67
ACCEPT all -- 10.0.0.11 0.0.0.0/0 PHYSDEV
match --physdev-in veth0.11
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in veth1.11
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in veth0.11 udp spt:68 dpt:67
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in veth1.12
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Ty pravidla jsou vygenerovany přímo z xen scriptů. V natu jen to co sem
si zadal já, tedy forwardy na nějaké porty a maškaráda:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:8110 to:10.0.0.11:80
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:2210 to:10.0.0.11:22
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:2240 to:10.0.0.14:22
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:8150 to:10.0.0.15:80
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:8151 to:10.0.0.15:8080
DNAT tcp -- 0.0.0.0/0 195.146.111.123 tcp
dpt:2250 to:10.0.0.15:22
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
jiná fyzická síťovka na stroji není a arp je následující
dom0, i v jednotlivych domech:
verejna pro dom0 00:0F:EA:12:0F:9B ( skutecna hw )
verejna pro dom5 AA:00:00:00:00:12 (tedy dle konfiguraku xenu)
1. verejna pro dom1 AA:00:00:00:00:19 ( dtto )
2. verejna pro dom1 AA:00:00:00:00:19 ( dtto )
> A samozřejmě obligátní otázka: poslouchal jste na síti a vystopoval
> jste, kudy ty pakety chodí a kde ke změně dochází?
Ano ale zatím mám sw problémy s tcpdumpem... takže momentálně netuším
co se tam děje
> > A docela zvláštní také je, že pokud na domU2 smažu z routovací
> > tabulky implicitní bránu, tak se sice v hostu nikam nedostanu, ale
> > z venčí si na IP adresu normálně pingnu :O přihlásim se na ssh
> > prostě z venku vše šlape jak má...
>
> Pokud se provádí výše popsaný SNAT, tak to až tak překvapivé není.
Tohle by ale ty moje iptables pravidla dělat neměli ne ?
Děkuji moc
Ondřej Tůma
Další informace o konferenci Linux