1 votes

nsg avatar

Pare-feu sur un hôte KVM, empêcher l'accès aux VM:s

Demandé el 4 de Juillet, 2011
Quand la question a-t-elle été
2036 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une machine Linux fonctionnant avec KVM et plusieurs machines virtuelles, toutes avec des adresses IP publiques. Pour l'instant, j'ai tout acheminé par un pont (br0) et cela fonctionne bien.

J'ai également besoin d'un pare-feu sur l'hôte pour restreindre l'accès à la fois à l'hôte et aux machines virtuelles. Je suppose que nous parlons de routage et d'iptables ? Je n'ai pas beaucoup d'expérience avec iptables/bridging/réseau et j'ai besoin d'un point dans la bonne direction.

Des recommandations ?

Hôte : Serveur Ubuntu 11.04, VM : Mixte, Linux et Windows

Demandé el 4 de Juillet, 2011 par nsg

0 votes

Avatar de nsg

J'ai une solution qui fonctionne, pour le moment. Je mettrai à jour ma question (quand j'aurai le temps) avec la configuration/les règles, ou une réponse serait-elle plus appropriée ?

Commenté el 12 de Juillet, 2011 par nsg

Réponse

Trop de publicités?

4voto

Andrew T avatar
Andrew T Points 1088

Iptables peut être configuré pour vérifier le trafic du pont. Je le désactive habituellement pour améliorer les performances, mais vous pouvez faire le contraire : /etc/sysctl.conf :

net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

Si vous mettez l'un de ces paramètres à 1 au lieu de 0, l'hôte iptables filtrera le trafic pour le pont.

Une autre solution serait d'arrêter d'utiliser le pont, et d'utiliser l'implémentation NAT de libvirts, qui utilise aussi iptables

EDIT : puisque les deux méthodes sont plutôt défectueuses, je ferais fonctionner les pare-feu dans les invités eux-mêmes, en les laissant sur un réseau ponté normal. ou, ce qui serait encore plus approprié, faire fonctionner une appliance pare-feu séparée devant l'infrastructure virtuelle.

Répondu el 4 de Juillet, 2011 par Andrew T (1088 Points )

0 votes

Avatar de nsg

Ah, bien. Je vais essayer le "bridge routing". Une machine séparée n'est pas une option (coût et espace limité).

Commenté el 4 de Juillet, 2011 par nsg

0 votes

Avatar de BillThor

@nsg : Vous pouvez exécuter OpenWRT sur un routeur à bas prix et y faire fonctionner le pare-feu externe.

Commenté el 4 de Juillet, 2011 par BillThor

0 votes

Avatar de nsg

Une boîte physique séparée n'est pas une option. Espace limité/coût.

Commenté el 12 de Juillet, 2011 par nsg
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X