Ich habe einen dedizierten Linux-Root-Server (Debian 7.5), auf dem eine Reihe von Gästen eingerichtet ist. Die Gäste sind KVM-Instanzen und erhalten Netzwerkzugriff über Bridge-Utils (NAT, interne IPs, verwenden den Host als Gateway).
Ein KVM ist beispielsweise mein WebServer-Gast und wird über die Host-IP folgendermaßen erreichbar:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
Ich mache dasselbe mit anderen Diensten, indem ich sie in sich geschlossen, auf dem neuesten Stand und isoliert halte.
Ein Gast soll jedoch ein Netzwerkmonitor sein und eine Überprüfung des Netzwerkverkehrs durchführen (wie ein IDS). Normalerweise würde ich in einer nicht virtuellen Konfiguration VACLs oder SPAN-Ports verwenden, um den Verkehr zu spiegeln. Natürlich kann ich das in diesem einen Host nicht tun ( einfach , weil ich keine komplexen virtuellen Switching-Ansätze verwenden möchte).
- Kann ich mithilfe von iptables einen Portspiegel erhalten und den gesamten Ingress- und Egress-Verkehr auf einen KVM-Gast umleiten? Alle Gäste haben eine dedizierte Schnittstelle, wie
vnet1
. - Ist es möglich, Datenverkehr basierend auf dem Protokoll selektiv weiterzuleiten (wie eine VACL-Weiterleitungsregel, die nur HTTP erfasst)?
- Benötigen die Gäste ein bestimmtes Interface-Setup, wenn ich es
vnet1
als Management-Interface (mit einer IP) behalten möchte ?
Ich würde mich über einen Punkt in die richtige Richtung freuen:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
Vielen Dank :)
iptables
, die nicht mehr dasROUTE
Ziel haben, siehe meine Antwort unter unix.stackexchange.com/a/174619/31228 .