Cài đặt khi sử dụng cầu

7

Tôi có một cầu nối được thiết lập giữa giao diện Ethernet vật lý của tôi eth0và giao diện ảo cho OpenVPN , tap0. Cây cầu có địa chỉ IP và máy có thể được liên lạc trên địa chỉ IP đó từ một trong hai giao diện. Tuy nhiên, tôi không biết cấu hình gì để lưu lượng truy cập chảy qua cầu, giữa các giao diện.

net.ipv4.ip_forward = 1cần thiết phải thiết lập để bắc cầu hay chỉ là cài đặt cần thiết cho định tuyến?

Làm thế nào tôi nên cấu hình FORWARDchuỗi trong iptables? Tốt nhất chỉ nên chuyển tiếp lưu lượng giữa các giao diện, để máy có thể được sử dụng làm điểm nảy trong mạng.

iptables  openvpn  bridge 
Xenopathic
nguồn

Câu trả lời:

7

Bạn không cần phải thiết lập ip_forward = 1trừ khi giao diện hoạt động như một NAT cho các thiết bị khác, điều này không nên xảy ra nếu bạn thiết lập chúng như một cây cầu.

Thí dụ

Đây là thiết lập máy chủ KVM của tôi có thiết bị cầu nối br0, với thiết bị ethernet vật lý, eth0+ tất cả các giao diện cho khách KVM.

$ brctl show
bridge name bridge id       STP enabled interfaces
br0     8000.bcaec123c1e2   no      eth0
                            vnet0
                            vnet1
                            vnet2
                            vnet3
                            vnet4
                            vnet5
virbr0      8000.52540003f256   yes     virbr0-nic

Vì vậy những gì là sai?

Dựa trên mô tả của bạn, có vẻ như bạn không có quy tắc định tuyến để định tuyến các gói từ giao diện này sang giao diện khác.

Chủ nhà với cây cầu 
$ ip route show
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.200 
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1 
169.254.0.0/16 dev br0  scope link  metric 1008 
default via 192.168.1.1 dev br0
Máy chủ lưu trữ với thành viên đó là cầu nối 
$ ip route show
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.218 
169.254.0.0/16 dev eth0  scope link  metric 1002 
default via 192.168.1.1 dev eth0

Tuy nhiên, bạn có thể gặp sự cố khi trộn tap0thiết bị và thiết bị ethernet vật lý eth0vào cầu nối.

Chạm vào thiết bị trong cầu

Do bạn đang sử dụng thiết bị TAP, tap0bạn có thể cần phải định cấu hình tường lửa của mình để cho phép các gói này chảy qua lại trên cầu.

Bây giờ hãy thiết lập tường lửa Linux để cho phép các gói tin tự do lưu chuyển trên các giao diện tap0 và br0 mới được tạo:

$ sudo iptables -A INPUT -i tap0 -j ACCEPT
$ sudo iptables -A INPUT -i br0 -j ACCEPT
$ sudo iptables -A FORWARD -i br0 -j ACCEPT

Người giới thiệu

SLM
nguồn
@sim Super Cảm ơn bạn rất nhiều vì câu trả lời này. Tôi đã sử dụng các lệnh iptables (1M) ở trên, thay thế bằng eth0 cho tap0 và nó đã giải quyết vấn đề kéo dài nhiều ngày của tôi. Tôi đã đăng vấn đề và giải quyết tại đây, đưa ra câu trả lời của bạn: ask.fedoraproject.org/en/question/108894/ợi :)
NYCeyes
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.