Forum Debian Users Gang

urbinek · 2017-08-29 09:59:03

bry, mam trochę głupie pytanie

Mam sobie xen'a z jednym interfejsem fizycznym i wielkim szczęśliwym bridgem

Kod:

[root@xen ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
virbr0          8000.525400cf109a       yes             virbr0-nic
xen_br          8000.d05099734379       no              enp3s0
                                                        vif1.0
                                                        vif2.0
                                                        vif3.0
                                                        vif4.0
xen_br.100              8000.d05099734379       no              enp3s0.100

Wszystkie maszyny są w jednej podsieci (wraz z hipervisorem, kompami w domu itp)

Dorobiłem do fail2ban dopisywanie adresów to ipset'a i dodałem importowanie listy firehol_level1.netset

Wszystko działa tak jak powinno, ipsety są tworzone, aktualizowane itp:

Kod:

[root@xen scripts]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_firehol src reject-with icmp-host-unreachable
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_firehol src reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_firehol src reject-with tcp-reset
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_f2b src reject-with icmp-host-unreachable
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_f2b src reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            match-set blacklist_f2b src reject-with tcp-reset

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

A moje pytanie - jako, że xen nie robi za router sam łańcuch INPUT wystarczy aby blokować pakiety, które przechodzą przez enp3s0->xen_br i dalej do maszyn wirtualnych?

lis6502 · 2017-08-29 10:02:35

Sam odpowiedziałeś sobie na pytanie:

A moje pytanie - jako, że xen nie robi za router sam łańcuch INPUT wystarczy aby blokować pakiety, które przechodzą przez enp3s0->xen_br i dalej do maszyn wirtualnych?

.
Afaik, łańcuch FORWARD dotyczy przekazywania pakietów między interfejsami.

urbinek · 2017-08-29 10:03:33

lis6502 napisał(-a):
Afaik, łańcuch FORWARD dotyczy przekazywania pakietów między interfejsami.

Niezależnie od tego czy routing działa czy nie ?

lis6502 · 2017-08-29 10:07:08

Czyli jak nie ma routingu to FORWARD jest niepotrzebne?
Filozoficznie zapytam czym jest routing? :) Bo w momencie kiedy pakiet nie przeznaczony bezpośrednio dla tej maszyny leci gdzieś indziej, już mówimy o routingu, nawet bez włączenia maskarady.
BTW: popraw sobie stopkę bo przeglądarka długo mi się timeoutuje nim stwierdzi że nginx.urbinek.eu jest zimy ;)

urbinek · 2017-08-29 10:11:27

Dlatego mówiłem, że pytanie było głupie ;)

A co do stopki - własnie zauważyłem, wirtualka z serwerem umarła, zaraz zreanimujemy

Forum Debian Users Gang

Ogłoszenie

#1 2017-08-29 09:59:03

urbinek - Dzban Naczelny

IPtables w bridgu

Kod:

Kod:

#2 2017-08-29 10:02:35

lis6502 - Łowca lamerów

Re: IPtables w bridgu

#3 2017-08-29 10:03:33

urbinek - Dzban Naczelny

Re: IPtables w bridgu

lis6502 napisał(-a):

#4 2017-08-29 10:07:08

lis6502 - Łowca lamerów

Re: IPtables w bridgu

#5 2017-08-29 10:11:27

urbinek - Dzban Naczelny

Re: IPtables w bridgu

Stopka forum