înregistrare Logare
Puncte:0
avatar Server

Probleme cu regulile firewall/IP între două gazde prin vSwitch

drapel cn
omeganebula

Am două servere în joc aici, unul este o gazdă Qemu VM, celălalt fiind un fel de cutie de stocare.

Sunt mașini Hetzner și le am conectat printr-un vSwitch.

Interfață Server1 vSwitch:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether 10:7b:44:b1:5b:7d brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.1/24 brd 192.168.100.255 domeniu global local
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

Rută IP Server1 (gazdă VM):

implicit prin <redacted-public-ip> dev eth0 proto metric static 100 
<redacted-public-ip> dev eth0 proto static scope link metric 100 
192.168.10.0/24 dev virbr0 proto kernel scope link src 192.168.10.254 metric 425 <-- rețea virbr0
192.168.10.253 prin 192.168.100.2 dev local <-- srv02 IP pentru a se potrivi în spațiul net virbr0

Interfață Server2 vSwitch:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether 08:60:6e:44:d6:2a brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.2/24 brd 192.168.100.255 domeniu global local
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet 192.168.10.253/24 brd 192.168.10.255 domeniu global local
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

Ruta IP Server2:

implicit prin <redacted-public-ip> dev eth0 proto metric static 100 
<redacted-public-ip> dev eth0 proto static scope link metric 100 
192.168.10.0/24 dev local proto kernel scope link src 192.168.10.253 <-- pentru a accesa virbr0 prin vSwitch

Am rutele configurate corect, cred - deoarece totul funcționează bine cu serviciul firewalld dezactivat.

Totuși, dacă îl pornesc, problemele încep.

Acestea sunt zonele de firewall de pe Server1 (pe care atunci când dezactivez firewalld totul funcționează)

libvirt (activ)
  tinta: ACCEPT
  icmp-block-inversion: nu
  interfețe: virbr0
  surse: 
  servicii: dhcp dhcpv6 dns ssh tftp
  porturi: 
  protocoale: icmp ipv6-icmp
  înainte: nu
  mascarada: nu
  porturi înainte: 
  porturi sursă: 
  icmp-blocks: 
  reguli bogate: 
    rule priority="32767" respingere


public (activ)
  target: implicit
  icmp-block-inversion: nu
  interfețe: eth0 local
  surse: 
  servicii: cockpit dhcpv6-client ssh
  porturi: 
  protocoale: 
  înainte: nu
  mascarada: nu
  porturi înainte: 
  porturi sursă: 
  icmp-blocks: 
  reguli bogate:

Am încercat să activez mascarada pe fiecare dintre acestea, ambele în același timp, fără niciun rezultat. „testez” acest lucru cu un simplu ping de la Server2, către una dintre VM-urile de pe virbr0

Este ceva evident care îmi lipsește aici?

Vă mulțumesc tuturor anticipat.

30
0 + 0
Puncte:0
avatar Server
drapel cn
omeganebula

Am reușit să rezolv acest lucru, folosind următoarele două reguli pe gazda QEMU

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -o local -i virbr0 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -o virbr0 -i local -j ACCEPT
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.