XEN - podivnost se sítí

Ondřej Tůma konference na webjet.cz
Pátek Leden 7 14:55:28 CET 2011


Dne Fri, 7 Jan 2011 13:58:19 +0100 (MET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> napsal(a):

> On Fri, 7 Jan 2011, Ondřej Tůma wrote:
> 
> > pokud se připojím přes veřejnou IP adresy na kterýkoli domU tak je
> > spojení vždy navázáno z dom0 (ať už je to ssh, nebo apache).
> 
> Nemáte tam nějaký kejkl s ebtables, který způsobí, že

ebtables ani arptables nainstalovaný nemám
 
> Zdá se, že dom0 místo bridžování udělá routování kombinované s SNATem.
> Teď je otázka, proč to dělá. Co je na dom0 v iptables? Nemáte tam
> nějaké kejkle s arptables nebo ebtables? Přicházejí pakety zvenčí
> určitě přes peth0 -- není tam nějaký další interfejs? Jakou MAC
> adresu mají domU podle jiných strojů?

iptables jsou tyto:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.0.0.19            0.0.0.0/0           PHYSDEV
match --physdev-in veth0.19
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
match --physdev-in veth1.19
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
match --physdev-in veth0.19 udp spt:68 dpt:67
ACCEPT     all  --  10.0.0.11            0.0.0.0/0           PHYSDEV
match --physdev-in veth0.11
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
match --physdev-in veth1.11
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
match --physdev-in veth0.11 udp spt:68 dpt:67
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
match --physdev-in veth1.12 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ty pravidla jsou vygenerovany přímo z xen scriptů. V natu jen to co sem
si zadal já, tedy forwardy na nějaké porty a maškaráda:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:8110 to:10.0.0.11:80 
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:2210 to:10.0.0.11:22 
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:2240 to:10.0.0.14:22 
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:8150 to:10.0.0.15:80 
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:8151 to:10.0.0.15:8080 
DNAT       tcp  --  0.0.0.0/0            195.146.111.123     tcp
dpt:2250 to:10.0.0.15:22 

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

jiná fyzická síťovka na stroji není a arp je následující
dom0, i v jednotlivych domech:
verejna pro dom0	00:0F:EA:12:0F:9B ( skutecna hw )
verejna pro dom5	AA:00:00:00:00:12 (tedy dle konfiguraku xenu)
1. verejna pro dom1	AA:00:00:00:00:19 ( dtto )
2. verejna pro dom1	AA:00:00:00:00:19 ( dtto )

> A samozřejmě obligátní otázka: poslouchal jste na síti a vystopoval
> jste, kudy ty pakety chodí a kde ke změně dochází?

Ano ale zatím mám sw problémy s tcpdumpem... takže momentálně netuším
co se tam děje

> > A docela zvláštní také je, že pokud na domU2 smažu z routovací
> > tabulky implicitní bránu, tak se sice v hostu nikam nedostanu, ale
> > z venčí si na IP adresu normálně pingnu :O přihlásim se na ssh
> > prostě z venku vše šlape jak má...
> 
> Pokud se provádí výše popsaný SNAT, tak to až tak překvapivé není.

Tohle by ale ty moje iptables pravidla dělat neměli ne ?

Děkuji moc
Ondřej Tůma



Další informace o konferenci Linux