QEMU VM cu interfață tap vede toate pachetele care provin de la hypervisor în loc de IP-ul sursă reală

Christian

29.11.2022, 07:46

Am configurat un Hypervisor foarte simplu folosind Alpine Linux și VM-ul meu vede tot traficul care vine de la IP-ul hypervisorului.

Ceea ce înseamnă, de asemenea, că dacă fail2ban încearcă să blocheze atacurile, blochează întotdeauna IP-ul hipervizoarelor

Cum pot face ca VM să vadă adresele IP reale și nu doar IP-ul hypervisorului?

Configurarea interfeței

Pe HV (192.168.5.5) Am o interfață cu punte br0 care merge bine

# script de configurare tun1 pe Hypervisor
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -P FORWARD ACCEPT
ip tuntap add dev tap1 mode atinge utilizator root
ip link set dev tap1 up
set link ip tap1 master br0

qemu-system-x86_64 [..parametrii care nu au fost înrudiți ..] \
-device virtio-net-pci,netdev=network0,mac=02:1f:ba:26:d7:56 \
-netdev tap,id=network0,ifname=tap1,script=nu,downscript=nu

VM-ul are acces la internet, dar tot traficul pe care îl vede provine de la IP-ul hipervizorului.

VM vede doar IP-uri HV

Cineva chiar încearcă să-mi folosească serverul pentru un atac de amplificare DNS (totuși, ieșirea blocată pe PFSense Firewall-ul meu)

Fail2ban blochează și IP-ul greșit

158

1 + 0

tun

qemu

kvm-virtualizare

alpin

Puncte:0

Server

Christian

29.11.2022, 08:09

Motivul pentru aceasta este regula iptable de postrouting.

După îndepărtare iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE folosind comanda iptables -t nat -D POSTROUTING -o br0 -j MASQUERADE funcționează.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: QEMU VM with tap interface sees all packages coming from hypervisor instead of real source IP

TH: QEMU VM พร้อมอินเทอร์เฟซการแตะเห็นแพ็คเกจทั้งหมดที่มาจากไฮเปอร์ไวเซอร์แทนที่จะเป็น IP ต้นทางจริง

RO: QEMU VM cu interfață tap vede toate pachetele care provin de la hypervisor în loc de IP-ul sursă reală

RU: Виртуальная машина QEMU с интерфейсом tap видит все пакеты, поступающие от гипервизора, а не реальный IP-адрес источника.

VI: QEMU VM với giao diện nhấn sẽ thấy tất cả các gói đến từ trình ảo hóa thay vì IP nguồn thực

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.