Здравствуйте!
Есть машина с Xen 4.1, в которой крутятся несколько виртуальных машин. Они подключены к внешней сети через мост (xenbr).
Есть необходимость фильтровать трафик всех ВМ (как при взаимодействии с внешней сетью, так и при взаимодействии между собой).
Фильтрация должна осуществляться виртуальной машиной-межсетевым экраном (ВМ-МЭ). Именно виртуальной машиной, работающей в domU.
У ВМ-МЭ есть два сетевых интерфейса (назовем их, "входящий" и "исходящий"). Они также подключены к мосту (xenbr).
Собственно вопрос: возможно ли в xenbr перенаправить весь входящий трафик на на определенный порт (а именно, тот, что соединен с входящим интерфейсом ВМ-МЭ) ?
Далее, в теории, трафик должен проходить через ВМ-МЭ, фильтроваться, и поступать на исходящий интерфейс, то есть, обратно в xenbr и передаваться по адресу назначения.
Разумеется перенаправить нужно входящий трафик со всех портов xenbr, кроме тех двух, что соединены с ВМ-МЭ. Иначе он будет бесконечно циркулировать в xenbr.
Если описанное невозможно реализовать с родным мостом xenbr, то можно ли это или нечто подобное сделать с помощью сторонних продуктов? Например, Open vSwitch, который, вроде, совместим с Xen.
Заранее спасибо!
Межсетевой экран в Xen
Модератор: Модераторы разделов
Re: Межсетевой экран в Xen
transcendent писал(а): ↑30.10.2011 23:36Собственно вопрос: возможно ли в xenbr перенаправить весь входящий трафик на на определенный порт (а именно, тот, что соединен с входящим интерфейсом ВМ-МЭ) ?
в одноранговой сети - нельзя. если вы на виртуальных интерфейсах domU сделаете разные ip-сети и подключите их к одному мосту, то - можно: ну будет по одному ethernet ходить пакеты с разными ip - ни чему не противоречит (это никак не зависит он xen) - смысла, правда, кроме как образовательного, по-моему, не имеет. если вернуться к xen, то принято идти одним из таких путей:
- делаете два моста, к одному подключается один виртуальный интерфейс, к другому - другой. соответственно к этим мостам подключаются разные физические интерфейсы (интернетный и внутренний)
- назначаете domU физический интерфейс, и далее - как выше, только без промежуточного звена в виде моста
-
- Сообщения: 3
- ОС: Debian 6
Re: Межсетевой экран в Xen
соответственно к этим мостам подключаются разные физические интерфейсы (интернетный и внутренний)
Тут Вы, видимо, имели в виду, что к одному мосту подключится физический интерфейс, а к другому - интерфейсы виртуальных машин. Правильно?
То есть, скажем, xenbr0 ,будет связывать ВМ-МЭ с внешней сетью, а xenbr1 - внутреннюю сеть с ВМ-МЭ.
Да, в такой конфигурации будет фильтроваться трафик между ВМ и внешней сетью. А трафик между двумя разными ВМ просто не выйдет за пределы xenbr1.
Его, напомню, тоже необходимо фильтровать.
Re: Межсетевой экран в Xen
я намерено не ответил на вопрос, тк хотел сказать что мостов может быть несколько и можно сделать любую конфигурацию, на какую хватит фантазии. представьте себе: драйвер-домен может создать множество мостов, каждый из которых соединяет пару domU, и одним из этой пары будет ваш мультиинтерфейсный домен-фильтр/маршрутизатор. кроме этого, фильтр подключен (тоже мостом и отдельным виртуальным сетевым интерфейсом) к драйвер-домену и еще одним таким же мостом - объединен с физической картой, управляемой драйвер-доменом и "смотрящей" во внешнюю сеть. таким образом фильтр будет центральной точкой звезды, один из лучей которой полуфизический, остальные - только виртуальные. "полуфизический" интерфейс можно сделать физическим, передав управление сетевой картой домену-фильтру
стоит заметить, что несмотря на то, что мосты создает драйвер-домен, он может к ним быть не подключен, реализуя т.о изоляцию всех от всего
тоже стоит заметить, что традиционно xen поставляется с набором примеров для трех популярных сетевых моделей: bridge, router и nat. разобравшись с этими примерами вы сможете строить любые конфигурации. помочь в разбирании может xen wiki и/или книги, наверняка их несколько, может быть, есть и отечественных авторов. я не видел такого, кроме однажды прочитанной 'running xen' авторши jeanna matthews
стоит заметить, что несмотря на то, что мосты создает драйвер-домен, он может к ним быть не подключен, реализуя т.о изоляцию всех от всего
тоже стоит заметить, что традиционно xen поставляется с набором примеров для трех популярных сетевых моделей: bridge, router и nat. разобравшись с этими примерами вы сможете строить любые конфигурации. помочь в разбирании может xen wiki и/или книги, наверняка их несколько, может быть, есть и отечественных авторов. я не видел такого, кроме однажды прочитанной 'running xen' авторши jeanna matthews
-
- Сообщения: 3
- ОС: Debian 6
Re: Межсетевой экран в Xen
Такая идея мне тоже приходила в голову. Пожалуй, самый большой ее недостаток в том, что для каждого нового domU придется создавать новый интерфейс в домене ВМ-МЭ и новый xenbr.
И делать это, увы, придется своими руками и часто. Это уже специфика решаемой задачи.
Хотелось бы фильтровать трафик на уровне виртуального моста (коммутатора), но своим собственным межсетевым экраном.
В любом случае, спасибо за ответы!
И делать это, увы, придется своими руками и часто. Это уже специфика решаемой задачи.
Хотелось бы фильтровать трафик на уровне виртуального моста (коммутатора), но своим собственным межсетевым экраном.
В любом случае, спасибо за ответы!