Cổng gương qua iptables

11

Tôi có một máy chủ gốc Linux (Debian 7.5) chuyên dụng, với một số khách được thiết lập. Khách là các trường hợp KVM và có quyền truy cập mạng thông qua các cầu nối (NAT, IP nội bộ, sử dụng máy chủ làm cổng).

Ví dụ: một KVM là máy khách WebServer của tôi và có thể truy cập thông qua IP máy chủ theo cách này:

    iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z 
--dport 80 -j DNAT --to-destination  192.168.100.X:80

Tôi cũng làm như vậy với các dịch vụ khác, giữ cho chúng khép kín, NATed và biệt lập.

Nhưng một khách được coi là người giám sát mạng và sẽ thực hiện kiểm tra lưu lượng mạng (như IDS). Thông thường, trong một thiết lập không ảo, tôi sẽ sử dụng các cổng VACL hoặc SPAN để phản chiếu lưu lượng. Tất nhiên, bên trong một máy chủ này, tôi không thể làm điều này ( một cách dễ dàng , vì tôi không muốn sử dụng các phương pháp chuyển đổi ảo phức tạp).

  1. Tôi có thể lấy bản sao cổng bằng iptables và chuyển hướng tất cả lưu lượng truy cập vào và ra cho một khách KVM không? Tất cả khách có giao diện riêng, thích vnet1.
  2. Có thể chuyển tiếp lưu lượng có chọn lọc, dựa trên giao thức (như quy tắc chuyển tiếp VACL, chỉ lấy HTTP)?
  3. khách có cần thiết lập giao diện cụ thể không, khi tôi cần giữ vnet1giao diện quản lý (có IP)?

Tôi sẽ rất vui vì một điểm đi đúng hướng:

iptables         1.4.14-3.1
linux            3.2.55
bridge-utils     1.5-6

Cảm ơn rất nhiều :)

networking  iptables  linux-kvm 
mong muốn
nguồn

Câu trả lời:

14

những gì về việc chuẩn bị trước máy chủ gốc Mô-đun định tuyến trước quy tắc bảng Mangle bằng một cái gì đó như:

iptables -I PREROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

và sau đó chuẩn bị các quy tắc bảng Mangle sau mô đun định tuyến bằng một cái gì đó như

iptables -I POSTROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

Trong đó 192.168.200.1 là màn hình mạng.

Các quy tắc này sẽ phản ánh tất cả lưu lượng truy cập đến và sắp tới chuyển tiếp tới 192.168.200.1

biên tập:

mangle table specific
  -j ROUTE            (explicitly route packets, valid at PREROUTING)
      options:
      --iface <iface_name>
      --ifindex <iface_idx>

nhưng bạn cũng có thể sử dụng một cái gì đó như 

iptables -I PREROUTING –t mangle –i eth0 –j TEE –gateway 192.168.200.1


iptables -I POSTROUTING –t mangle –j TEE –gateway 192.168.200.1

nơi TEEbây giờ là một mục tiêu mà lúc PREROUTINGmất thêm nhiều lựa chọn như ví dụ -i, -p, vv

Pat
nguồn
Độc giả NB đến SE sử dụng các phiên bản mới hơn của iptables không còn ROUTEmục tiêu nữa, hãy xem câu trả lời của tôi tại unix.stackexchange.com/a/174619/31228 .
Jonathan Ben-Avraham
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.