J'ai un serveur racine Linux (Debian 7.5) dédié, avec un certain nombre d'invités installés. Les invités sont des instances KVM et obtiennent un accès réseau via des passerelles (NAT, IP internes, utilisent l'hôte comme passerelle).
Par exemple, un KVM est mon invité WebServer, et il est accessible via l'adresse IP de l'hôte de cette façon:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
Je fais de même avec d'autres services, en les maintenant autonomes, NAT et isolés.
Mais un invité est censé être un moniteur réseau et doit effectuer une inspection du trafic réseau (comme un IDS). Habituellement, dans une configuration non virtuelle, j'utiliserais des ports VACL ou SPAN pour refléter le trafic. Bien sûr, à l'intérieur de cet hôte, je ne peux pas faire cela ( facilement , car je ne veux pas utiliser d'approches de commutation virtuelle complexes).
- Puis-je obtenir un miroir de port à l'aide d'iptables et rediriger tout le trafic d'entrée et de sortie vers un invité KVM? Tous les invités ont une interface dédiée, comme
vnet1
. - Est-il possible de transmettre le trafic de manière sélective, sur la base du protocole (comme une règle de transfert VACL, qui ne prend que HTTP)?
- les invités ont-ils besoin d'une configuration d'interface spécifique, quand je dois garder
vnet1
une interface de gestion (avec une IP)?
Je serais heureux pour un point dans la bonne direction:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
Merci beaucoup :)
la source
iptables
ceux-ci n'ont plus laROUTE
cible, voir ma réponse sur unix.stackexchange.com/a/174619/31228 .