많은 게스트가 설정된 전용 Linux (Debian 7.5) 루트 서버가 있습니다. 게스트는 KVM 인스턴스이며 bridge-utils (NAT, 내부 IP, 호스트를 게이트웨이로 사용)를 통해 네트워크 액세스를 얻습니다.
예를 들어 하나의 KVM은 내 WebServer 게스트이며 다음과 같은 방법으로 호스트 IP를 통해 액세스 할 수 있습니다.
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
다른 서비스에서도 동일하게 수행하여 자체 포함, NAT 및 격리 상태로 유지합니다.
그러나 한 게스트는 네트워크 모니터 여야하며 IDS와 같은 네트워크 트래픽 검사를 수행해야합니다. 일반적으로 비가 상 설정에서는 VACL 또는 SPAN 포트를 사용하여 트래픽을 미러링합니다. 물론,이 하나의 호스트 안에서는 이것을 할 수 없습니다 ( 복잡한 가상 스위칭 접근 방식을 사용하고 싶지 않기 때문에 쉽게 ).
vnet1
.vnet1
관리 인터페이스 (IP 포함) 로 유지해야하는 경우 게스트에게 특정 인터페이스 설정이 필요 합니까?올바른 방향으로 향하는 것이 기쁩니다.
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
고마워요 :)
루트 서버 사전 라우팅 모듈 Mangle 테이블 규칙을 다음과 같이 추가하는 것은 어떻습니까?
iptables -I PREROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee
그런 다음 포스트 라우팅 모듈 Mangle 테이블 규칙을 다음과 같이 앞에 추가합니다.
iptables -I POSTROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee
여기서 192.168.200.1은 네트워크 모니터입니다.
이러한 규칙은 192.168.200.1로 전달하는 모든 수신 및 발신 트래픽을 미러링합니다.
편집하다:
mangle table specific
-j ROUTE (explicitly route packets, valid at PREROUTING)
options:
--iface <iface_name>
--ifindex <iface_idx>
하지만 다음과 같은 것을 사용할 수도 있습니다.
iptables -I PREROUTING –t mangle –i eth0 –j TEE –gateway 192.168.200.1
과
iptables -I POSTROUTING –t mangle –j TEE –gateway 192.168.200.1
어디 TEE
지금에서 대상 PREROUTING
즉, 같은 더 많은 옵션 소요 -i
, -p
, 등
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다