Virtuálne sieťové rozhrania v iptables

Neděle Listopad 20 14:51:57 CET 2016

On Sun, 20 Nov 2016 11:57:07 +0100 (CET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:

> Teď jsem si znovu pořádně přečetl, jak to chcete mít nastavené:
> 
> > Čiže klient by mohol mať nastavený ako default gw 192.168.1.1 alebo
> > 192.168.1.2.  
> 
> Takže chcete dvě IP adresy v jedné IP síti. A předpokládám, že
> klienti jsou také naházení v tom jednom prostoru. To je, s
> prominutím, totální bordel.

To, čo v princípe chcem je mať dve brány v jednej (IP/LAN) sieti.  To
myslím problém nie je, fyzicky.  Nejak som predpokladal, že to nebude
problém ani virtuálne.

> Teď si představte, že jste gateway, máte IP adresu klienta, a máte se 
> rozhodnout, které rozhraní máte použít. Dokážete to? Nejspíš nikoli.

No to je pravda, stále som riešil len prijímanie na routeri a
odosielanie mi úplne ušlo.

> Linux to umí dělat přes netns (net namespaces) -- když dáte každé
> rozhraní do jiného netns, tak se nebudou míchat dohromady a budou se
> chovat, jako by byly na různých fyzických strojích. Ale tím ten

Toto vyzerá veľmi nádejne.  Skúsil som - na jednom PC mám nastavené
dva netns.  Obidva sú cez osobitný pár veth spojené s fyzickým
rozhraním pomocou bridge.  Majú rôzne IP adresy.  Pingoval som z iného
stroja a dostupné sú obidve IP.  Dokonca aj pod rôznymi MAC adresami,
ako ukazuje ARP tabuľka!  Čiže týmto by som dokázal odstrániť základný
problém jednej MAC adresy, ktorý som mal doteraz.  Len či to bude
vedieť fungovať aj ako brána.

> problém neodstraníte, protože při komnikaci s okolním vesmírem bude u
> příchozích paketů stejně někde nutné rozhodnout, do kterého netns se
> to má strčit.

Pravda, neviem ako to rozhadzuje do netns ale vychádzajúc z toho ako
funguje bridge a veth, by som povedal, že paket príde do všetkých
netns.  A až niekde na vyššej vrstve sa (na základe IP) zahodia tie,
ktoré danému netns nepatria.(?)  To by ale bolo dosť slabé oddelenie
kontajnerov, ktoré netns používajú.

Odchodzie pakety sú zase poriešené tým, že každý namespace má svoju
routu.

> Možná by bylo vůbec nejlepší se vrátit na začátek a zapřemýšlet nad
> tím, proč vůbec chcete počítače rozlišovat právě a pouze podle toho,
> jakou používají IP adresu gw, a zda by je nebylo možno rozlišit
> nějakým méně bláznivým způsobem. Např. tak, že každá skupina bude
> mít svůj vlastní prostor IP adres (a případně bude ve svém zvláštním
> vlanu).

Vlastný IP priestor by bolo asi menej bláznivé riešenie.  Na začiatku
som sa rozhodol pre dva GW pretože som myslel, že to bude trivialita.

-- 
Róbert Čerňanský
E-mail: openhs na tightmail.com
Jabber: hs na jabber.sk