Cầu Linux bị rò rỉ lưu lượng tắt máy vms

Andrew

21:24, 15/06/2023

Tôi đã thiết lập cầu linux (br0) với netplan như sau:

  phiên bản: 2
  trình kết xuất: mạng
  ethernet:
    en1:
      dhcp4: không
      dhcp6: không
  cầu:
    thử:
      giao diện:
        - en1
      macaddress: ab:cd:ef:01:02:03
      địa chỉ:
        - 51.x.y.z/24
      máy chủ tên:
        địa chỉ:
          - 8.8.8.8
          - 1.1.1.1
      thông số:
        stp: sai
        chuyển tiếp chậm trễ: 0
      dhcp4: không
      dhcp6: không
      tuyến đường:
        - đến: 0.0.0.0/0
          thông qua: 55.x.y.254
        - đến: 55.x.y.z/28
          phạm vi: liên kết

Tôi sử dụng libvirt virt-install với đối số mạng: virt-install ... --network type=bridge,source=br0,model=virtio,filterref=clean-traffic,mac=00:11:22:33:44:55

Mạng hoạt động như mong đợi nhưng điều tôi nhận thấy là nếu tôi có nhiều máy ảo thì lưu lượng truy cập đến một máy ảo bị tắt sẽ được phát cho tất cả các máy ảo đang chạy. Điều này sẽ rò rỉ thông tin của các kết nối. Có cách nào để cấu hình cây cầu không làm điều này? Có lẽ với ebtables? Tôi nhận thấy rằng quy tắc ebtables sau đây sẽ hoạt động nhưng tôi đang tìm kiếm thứ gì đó chung chung hơn vì tôi không biết trước tên giao diện (vnet1): ebtables -A FORWARD -p IPv4 --ip-destination 55.x.y.z -o ! vnet1 -j THẢ Thực hiện bộ lọc không cho mac sẽ không hoạt động vì IP và MAC dành cho vm tắt nhưng cầu vẫn vì một số lý do quyết định phát nó.

0 + 0

cầu

qemu

bảng ebtables

Zoredache

01:19, 16/06/2023

`lưu lượng dành cho VM bị tắt sẽ được phát sóng` - Bạn cần giải thích chi tiết. Nó chỉ là một ARP cho IP đích? ARP sẽ đến từ bộ định tuyến cục bộ, để cố gắng xác định vị trí của người có IP, điều đó sẽ không được báo cáo lại. Bạn có nhận được các gói TCP có cờ SYN không? Điều đó có nghĩa là bạn có thứ gì đó trả lời ARP ở đâu đó hoặc bạn có bộ đệm ARP dài?. Có phải là lưu lượng UDP không?

Hồi đáp

Andrew

02:16, 16/06/2023

Đó không chỉ là lưu lượng ARP, mà còn là các gói TCP SYN và UDP. Bất kỳ ip nào định tuyến đến cầu nối nhưng chưa được phân bổ cho vm hoặc vm bị tắt sẽ được nhìn thấy bên trong vms khác khi chạy tshark.

Hồi đáp

Andrew

02:30, 16/06/2023

Giới thiệu về ARP; Tôi có các tuyến arp tĩnh được thiết lập cho vms đang chạy và tắt, không có tuyến nào chưa được phân bổ. Nó dường như không quan trọng. Không có mục ARP nào không nên ở đó.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Linux bridge leaking traffic of shutdown vms

TH: Linux บริดจ์รั่วทราฟฟิกของการปิดระบบ vms

RO: Linux bridge scurge trafic de închidere vms

RU: Linux-мост пропускает трафик выключения vms

VI: Cầu Linux bị rò rỉ lưu lượng tắt máy vms

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.