Tham gia Đăng nhập
Điểm:0
avatar Server

Sự cố quy tắc tường lửa/IP giữa hai máy chủ thông qua vSwitch

lá cờ cn
omeganebula

Tôi có hai máy chủ đang hoạt động ở đây, một máy chủ là máy chủ Qemu VM, máy chủ còn lại là một loại hộp lưu trữ.

Chúng là những máy hetzner và tôi đã kết nối chúng qua vSwitch.

Giao diện Server1 vSwitch:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue nhóm LÊN mặc định qlen 1000
    liên kết/ether 10:7b:44:b1:5b:7d brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.1/24 brd 192.168.100.255 phạm vi toàn cầu cục bộ
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi

Tuyến ip Server1 (máy chủ VM):

mặc định qua <redacted-public-ip> dev eth0 số liệu tĩnh proto 100 
<redacted-public-ip> chỉ số liên kết phạm vi tĩnh proto dev eth0 100 
192.168.10.0/24 dev virbr0 liên kết phạm vi nhân proto src 192.168.10.254 số liệu 425 <- mạng virbr0
192.168.10.253 qua 192.168.100.2 dev local <- srv02 IP để phù hợp với không gian mạng virbr0

Giao diện vSwitch của Server2:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc trạng thái noqueue nhóm LÊN mặc định qlen 1000
    liên kết/ether 08:60:6e:44:d6:2a brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.2/24 brd 192.168.100.255 phạm vi toàn cầu cục bộ
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet 192.168.10.253/24 brd 192.168.10.255 phạm vi toàn cầu cục bộ
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi

Tuyến ip máy chủ2:

mặc định qua <redacted-public-ip> dev eth0 số liệu tĩnh proto 100 
<redacted-public-ip> chỉ số liên kết phạm vi tĩnh proto dev eth0 100 
192.168.10.0/24 dev local proto kernel scope link src 192.168.10.253 <- để truy cập virbr0 qua vSwitch

Tôi đoán là tôi đã thiết lập các tuyến chính xác - vì mọi thứ đều hoạt động tốt với dịch vụ tường lửa bị tắt.

Tuy nhiên, nếu tôi bật nó lên, vấn đề sẽ bắt đầu.

Đây là các vùng tường lửa trên Server1 (khi tôi tắt tường lửa, mọi thứ đều hoạt động)

libvirt (đang hoạt động)
  mục tiêu: CHẤP NHẬN
  icmp-block-đảo ngược: không
  giao diện: virbr0
  nguồn: 
  dịch vụ: dhcp dhcpv6 dns ssh tftp
  cổng: 
  giao thức: icmp ipv6-icmp
  chuyển tiếp: không
  hóa trang: không
  cổng chuyển tiếp: 
  cổng nguồn: 
  khối icmp: 
  Quy tắc phong phú: 
    ưu tiên quy tắc="32767" từ chối


công khai (đang hoạt động)
  mục tiêu: mặc định
  icmp-block-đảo ngược: không
  giao diện: eth0 cục bộ
  nguồn: 
  dịch vụ: buồng lái dhcpv6-client ssh
  cổng: 
  giao thức: 
  chuyển tiếp: không
  hóa trang: không
  cổng chuyển tiếp: 
  cổng nguồn: 
  khối icmp: 
  Quy tắc phong phú:

Tôi đã thử bật masquerade trên từng thứ đó, cả hai thứ đó cùng một lúc, nhưng không có kết quả. Tôi đang "thử nghiệm" điều này bằng lệnh ping đơn giản từ Server2, tới một trong các máy ảo trên virbr0

Có điều gì rõ ràng mà tôi đang thiếu ở đây không?

Trước tiên xin cảm ơn tất cả các bạn.

30
0 + 0
Điểm:0
avatar Server
lá cờ cn
omeganebula

Tôi đã giải quyết được vấn đề này bằng cách sử dụng hai quy tắc sau trên máy chủ QEMU

tường lửa-cmd -- Permanent --direct --add-rule bộ lọc ipv4 VỀ PHÍA TRƯỚC 0 -o local -i virbr0 -j CHẤP NHẬN

tường lửa-cmd -- Permanent --direct --add-rule bộ lọc ipv4 VỀ PHÍA TRƯỚC 0 -o virbr0 -i local -j CHẤP NHẬN
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.