Làm cách nào để máy ảo khách có thể tiếp cận máy chủ trên mạng bằng mạng bắc cầu?

Sau khi hỏi câu hỏi này Tôi đã có thể định cấu hình các máy ảo của mình để kết nối trực tiếp với mạng LAN. Điều này hoạt động như dự định, ngoại trừ việc máy ảo khách không thể giao tiếp với máy chủ.

Máy chủ Ubuntu 20.04.03 LTS.

Đây là sơ đồ mạng máy chủ của tôi:

mạng:
  ethernet:
    enp3s0:
      dhcp4: đúng
      tùy chọn: đúng
    enp4s0:
      dhcp4: sai
      dhcp6: sai
  cầu:
    anh 0:
      giao diện:
      - enp4s0
      địa chỉ:
      - 192.168.1.200/24
      cổng4: 192.168.1.1
      máy chủ tên:
        địa chỉ:
        - 1.1.1.1
        - 1.0.0.1
        - 8.8.8.8
        - 8.8.4.4
        Tìm kiếm: []
      thông số:
        stp: đúng
      dhcp4: không
      dhcp6: không
  vlan:
    vlan15:
      chấp nhận-ra: không
      mã số: 15
      liên kết: enp4s0
  phiên bản: 2

Và đây là cấu hình mạng vm (virsh chỉnh sửa mạng mặc định)

<network>
  <name>default</name>
  <uuid>e0235996-534d-49c8-94d6-f213acd1552e</uuid>
  <forward mode='bridge'/>
  <bridge name='br0'/>
</network>

Trong khi máy ảo khách xuất hiện trên mạng LAN và có quyền truy cập bên ngoài và có thể được truy cập từ các máy tính thực khác trên mạng, máy ảo khách không thể truy cập máy chủ của nó.

Đây là kết quả từ dấu nhắc lệnh của Windows Server trong VM cho lệnh ping và tracert: (máy chủ là 192.168.1.200, máy khách là 192.168.1.33, nhận được từ DHCP của bộ định tuyến trên mạng LAN)

C:\Users\Quản trị viên>ping 192.168.1.200

Ping 192.168.1.200 với 32 byte dữ liệu:
Trả lời từ 192.168.1.33: Không thể truy cập máy chủ đích.

Thống kê ping cho 192.168.1.200:
    Gói tin: Đã gửi = 1, Đã nhận = 1, Mất = 0 (mất 0%),

C:\Users\Administrator>tracert 192.168.1.200


Truy tìm tuyến đường tới 192.168.1.200 trong tối đa 30 bước nhảy

  1 SVR-BACKUP [192.168.1.33] báo cáo: Không thể truy cập máy chủ đích.

Theo dõi hoàn thành.

Tôi cần phải làm gì nữa để hoàn thành kết nối, để máy ảo khách có thể giao tiếp với máy chủ?

Chỉnh sửa: theo yêu cầu, đây là đầu ra của sudo iptables -xvnL

Chuỗi INPUT (chính sách CHẤP NHẬN 195866 gói, 25432549 byte)
    pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi FORWARD (chính sách DROP 0 gói, 0 byte)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 DOCKER-USER tất cả -- * * 0.0.0.0/0 0.0.0.0/0
       0 0 DOCKER-ISOLATION-STAGE-1 tất cả -- * * 0.0.0.0/0 0.0.0.0/0
       0 0 CHẤP NHẬN tất cả -- * docker0 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP
       0 0 DOCKER tất cả -- * docker0 0.0.0.0/0 0.0.0.0/0
       0 0 CHẤP NHẬN tất cả -- docker0 !docker0 0.0.0.0/0 0.0.0.0/0
       0 0 CHẤP NHẬN tất cả -- docker0 docker0 0.0.0.0/0 0.0.0.0/0

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 252563 gói, 775126408 byte)
    pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi DOCKER (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 CHẤP NHẬN tcp -- !docker0 docker0 0.0.0.0/0 172.17.0.2 tcp dpt:3690

Chuỗi DOCKER-ISOLATION-STAGE-1 (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 DOCKER-ISOLATION-STAGE-2 tất cả -- docker0 !docker0 0.0.0.0/0 0.0.0.0/0
       0 0 TRẢ LẠI tất cả -- * * 0.0.0.0/0 0.0.0.0/0

Chuỗi DOCKER-ISOLATION-STAGE-2 (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 THẢ tất cả -- * docker0 0.0.0.0/0 0.0.0.0/0
       0 0 TRẢ LẠI tất cả -- * * 0.0.0.0/0 0.0.0.0/0

Chuỗi DOCKER-USER (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 TRẢ LẠI tất cả -- * * 0.0.0.0/0 0.0.0.0/0

Và sudo iptables -t nat -xvnL

PREROUTING chuỗi (chính sách CHẤP NHẬN 39583 gói, 13257450 byte)
    pkts byte đích prot chọn không tham gia đích nguồn
    8156 2476484 DOCKER tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE khớp kiểu dst LOCAL

Chuỗi INPUT (chính sách CHẤP NHẬN 8712 gói, 2524965 byte)
    pkts byte đích prot chọn không tham gia đích nguồn

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 10911 gói, 606007 byte)
    pkts byte đích prot chọn không tham gia đích nguồn
       6 1768 DOCKER tất cả -- * * 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE khớp kiểu dst ĐỊA PHƯƠNG

Chuỗi POSTROUTING (chính sách CHẤP NHẬN 10911 gói, 606007 byte)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 GIẢ MẠO tất cả -- * !docker0 172.17.0.0/16 0.0.0.0/0
       0 0 MASQUERADE tcp -- * * 172.17.0.2 172.17.0.2 tcp dpt:3690

Chuỗi DOCKER (2 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn
       0 0 TRẢ LẠI tất cả -- docker0 * 0.0.0.0/0 0.0.0.0/0
       0 0 DNAT tcp -- !docker0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3690 tới:172.17.0.2:3690

Vấn đề là bộ lọc mạng.

theo dõi hướng dẫn ở đây Tôi đã tắt bộ lọc mạng cho cầu nối và có thể nhận được giao tiếp mạng thích hợp giữa máy ảo, mạng LAN và máy chủ. Phần có liên quan:

Vì lý do hiệu suất và bảo mật, hãy tắt bộ lọc mạng cho cầu nối. Tạo /etc/sysctl.d/bridge.conf với các nội dung sau:

net.bridge.bridge-nf-call-ip6tables=0
net.bridge.bridge-nf-call-iptables=0
net.bridge.bridge-nf-call-arptables=0

Tạo /etc/udev/rules.d/99-bridge.rules với nội dung sau. Quy tắc udev này áp dụng cài đặt sysctl ở trên khi mô-đun cầu nối được tải. (Nếu sử dụng nhân Linux 3.18 trở lên, hãy đổi KERNEL=="bridge" thành KERNEL=="br_netfilter".)

ACTION=="add", SUBSYSTEM=="module", KERNEL=="bridge", RUN+="/sbin/sysctl -p /etc/sysctl.d/bridge.conf"

Sau khi làm như vậy, tất cả các vấn đề của tôi đã biến mất.