libvirt & iptables

Mebus · Beitrag von **Mebus** » 23.01.2010 18:20:43

Hallo!

Ich habe in libvirt ein Netzwerk mit folgender Konfiguration erstellt:

<network>
  <name>WAN</name>
  <uuid>6f6a6940-0843-11df-8a39-0800200c9a66</uuid>
  <forward dev='eth0' mode='route'/>
  <bridge name='virbr2' stp='on' forwardDelay='0' />
  <ip address='xx.xxx.xx.xxx' netmask='255.255.255.255'>
  </ip>
</network>

Es werden allerdings immer dise Firewallregeln:

http://pastebin.ca/1763025

mit erstellt, die dann dafür sorgen, dass der virtuelle Server nicht aus dem Internet erreichbar ist.

Mir wundert auch, dass in den Regeln die HOSTIP auftaucht, jedenfalls als incoming IP für die bridge. ??

Wie kann man das verhindern?

Danke

Gruß

Mebus

gms · Beitrag von **gms** » 23.01.2010 21:31:44

Mebus hat geschrieben: Es werden allerdings immer dise Firewallregeln:

http://pastebin.ca/1763025

mit erstellt, die dann dafür sorgen, dass der virtuelle Server nicht aus dem Internet erreichbar ist.

kommen diese Zugriffen nicht über eht0 rein ?

Mebus hat geschrieben: Wie kann man das verhindern?

vermutlich das "dev='eth0'" beim forward-Element weglassen

Gruß
gms

ThorstenS · Beitrag von **ThorstenS** » 23.01.2010 21:52:04

Ich hab die Netzwerkgeschichte, die mir libvirt bietet, komplett aussen vor gelassen.
Meine network/interfaces beinhaltet das:

Code: Alles auswählen

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet dhcp
        bridge_ports eth0
        bridge_fd 9
        bridge_hello 2
        bridge_maxage 12
        bridge_stp off
        bridge_maxwait 0
        dns-nameservers 172.16.16.254
        dns-search heimnetz.xx

Und die Maschinen, die ich mit dem virt-manager betreibe, binde ich an die bridge. Ihre IP bekommen sie bei mir per dhcp, aber auch fixe Adressen sind möglich. Das ganze setup läuft ohne iptables.

Hier mal der entspr. Ausschnitt aus dem xml-file unter /etc/libvirt/qemu:

Code: Alles auswählen

    <interface type='bridge'>
      <mac address='54:52:00:6f:16:c5'/>
      <source bridge='br0'/>
      <model type='virtio'/>
    </interface>

Vllt. ist das ja auch ein vernünftiger Weg für dich...?!

Mebus · Beitrag von **Mebus** » 23.01.2010 22:14:06

@gms: Ja, die Zugriffe kommen über eth0 rein.

@ThorstenS:

Ist eth0 dann mit in der bridge ?

Das ganze habe ich erstmal nach dieser Anleitung:

http://wiki.hetzner.de/index.php/KVM_%C ... /CentOS/SL

erstellt.

"Aufgrund der Hetzner-Sicherheitseinstellungen (jeder Switchport ist genau für die MAC-Adresse des dedizierten Servers freigeschaltet), scheidet ein Standard-Bridged-Setup aus (die VMs könnten in diesem Fall nicht mit dem Hetzner-Netz kommunizieren, da sie eigene MAC-Adresse haben). Daher ist hier ein sog. 'routed setup' nötig."

Das Entfernen von "dev=eth0" hat nicht geholfen.

Mebus

gms · Beitrag von **gms** » 23.01.2010 23:21:17

Mebus hat geschrieben: Mir wundert auch, dass in den Regeln die HOSTIP auftaucht, jedenfalls als incoming IP für die bridge. ??

dort wo die HOSTIP auftaucht sollte eigentlich die Subnet-Adresse der Bridge stehen, daher ziehen diese Regeln auch nicht

Ausschlaggebend für dieses Verhalten ist vermutlich die Netmask '255.255.255.255'

Mebus · Beitrag von **Mebus** » 23.01.2010 23:31:26

Ja, das ist mir auch vorhin aufgefallen. Ich hab's geändert und es tut.

Mebus

ThorstenS · Beitrag von **ThorstenS** » 24.01.2010 00:47:22

postest du bitte noch dein korrektes Setup?

Mebus · Beitrag von **Mebus** » 24.01.2010 01:27:06

Code: Alles auswählen

<network>
  <name>WAN</name>
  <uuid>6f6a6940-0843-11df-8a39-0800200c9a66</uuid>
  <forward dev='eth0' mode='route'/>
  <bridge name='virbr2' stp='on' forwardDelay='0' />
  <ip address='xx.xxx.xx.xxx' netmask='255.255.255.0'>
  </ip>
</network>

debianforum.de

libvirt & iptables

libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables

Re: libvirt & iptables