Saya memiliki server root Linux (Debian 7.5) khusus, dengan sejumlah tamu diatur. Para tamu adalah instance KVM, dan mendapatkan akses jaringan melalui bridge-utils (NAT, IP internal, gunakan host sebagai gateway).
Misalnya satu KVM adalah tamu WebServer saya, dan dapat diakses melalui IP host dengan cara ini:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
Saya melakukan hal yang sama dengan layanan lain, menjaga mereka mandiri, terikat dan terisolasi.
Tetapi satu tamu seharusnya menjadi pemantau jaringan, dan harus melakukan inspeksi lalu lintas jaringan (seperti IDS). Biasanya, dalam pengaturan non virtual saya akan menggunakan port VACL atau SPAN untuk mencerminkan lalu lintas. Tentu saja, di dalam host yang satu ini, saya tidak bisa melakukan ini ( dengan mudah , karena saya tidak ingin menggunakan pendekatan switching virtual yang kompleks).
- Bisakah saya mendapatkan mirror port menggunakan iptables, dan mengarahkan semua lalu lintas masuk dan keluar ke satu tamu KVM? Semua tamu memiliki antarmuka khusus, seperti
vnet1
. - Apakah mungkin untuk meneruskan lalu lintas secara selektif, berdasarkan protokol (seperti aturan forward VACL, yang hanya mengambil HTTP)?
- apakah para tamu memerlukan pengaturan antarmuka khusus, ketika saya perlu menyimpannya
vnet1
sebagai antarmuka manajemen (dengan IP)?
Saya akan senang untuk titik ke arah yang benar:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
Terima kasih banyak :)
sumber
iptables
yang tidak lagi memilikiROUTE
target melihat balasan saya di unix.stackexchange.com/a/174619/31228 .