Межсетевой экран в Xen

Модератор: Модераторы разделов

Ответить
transcendent
Сообщения: 3
ОС: Debian 6

Межсетевой экран в Xen

Сообщение transcendent »

Здравствуйте!
Есть машина с Xen 4.1, в которой крутятся несколько виртуальных машин. Они подключены к внешней сети через мост (xenbr).
Есть необходимость фильтровать трафик всех ВМ (как при взаимодействии с внешней сетью, так и при взаимодействии между собой).
Фильтрация должна осуществляться виртуальной машиной-межсетевым экраном (ВМ-МЭ). Именно виртуальной машиной, работающей в domU.
У ВМ-МЭ есть два сетевых интерфейса (назовем их, "входящий" и "исходящий"). Они также подключены к мосту (xenbr).
Собственно вопрос: возможно ли в xenbr перенаправить весь входящий трафик на на определенный порт (а именно, тот, что соединен с входящим интерфейсом ВМ-МЭ) ?
Далее, в теории, трафик должен проходить через ВМ-МЭ, фильтроваться, и поступать на исходящий интерфейс, то есть, обратно в xenbr и передаваться по адресу назначения.

Разумеется перенаправить нужно входящий трафик со всех портов xenbr, кроме тех двух, что соединены с ВМ-МЭ. Иначе он будет бесконечно циркулировать в xenbr.
Если описанное невозможно реализовать с родным мостом xenbr, то можно ли это или нечто подобное сделать с помощью сторонних продуктов? Например, Open vSwitch, который, вроде, совместим с Xen.

Заранее спасибо!
Спасибо сказали:
Аватара пользователя
vr13
Сообщения: 876
ОС: gentoo

Re: Межсетевой экран в Xen

Сообщение vr13 »

transcendent писал(а):
30.10.2011 23:36
Собственно вопрос: возможно ли в xenbr перенаправить весь входящий трафик на на определенный порт (а именно, тот, что соединен с входящим интерфейсом ВМ-МЭ) ?

в одноранговой сети - нельзя. если вы на виртуальных интерфейсах domU сделаете разные ip-сети и подключите их к одному мосту, то - можно: ну будет по одному ethernet ходить пакеты с разными ip - ни чему не противоречит (это никак не зависит он xen) - смысла, правда, кроме как образовательного, по-моему, не имеет. если вернуться к xen, то принято идти одним из таких путей:
  • делаете два моста, к одному подключается один виртуальный интерфейс, к другому - другой. соответственно к этим мостам подключаются разные физические интерфейсы (интернетный и внутренний)
  • назначаете domU физический интерфейс, и далее - как выше, только без промежуточного звена в виде моста
в контексте xen4.1+ разработчиками решено отдать управление мостами драйвер-домену (обычно dom0), т.е скрипты xen больше не требуются. соответственно, какой это будет мост - bridge или openswitch - роли не играет. да, упомянутый xenbr - это просто название bridge (модуль ядра linux), управляется который userspace-утилитой brctl
Спасибо сказали:
transcendent
Сообщения: 3
ОС: Debian 6

Re: Межсетевой экран в Xen

Сообщение transcendent »

соответственно к этим мостам подключаются разные физические интерфейсы (интернетный и внутренний)

Тут Вы, видимо, имели в виду, что к одному мосту подключится физический интерфейс, а к другому - интерфейсы виртуальных машин. Правильно?
То есть, скажем, xenbr0 ,будет связывать ВМ-МЭ с внешней сетью, а xenbr1 - внутреннюю сеть с ВМ-МЭ.
Да, в такой конфигурации будет фильтроваться трафик между ВМ и внешней сетью. А трафик между двумя разными ВМ просто не выйдет за пределы xenbr1.
Его, напомню, тоже необходимо фильтровать.
Спасибо сказали:
Аватара пользователя
vr13
Сообщения: 876
ОС: gentoo

Re: Межсетевой экран в Xen

Сообщение vr13 »

я намерено не ответил на вопрос, тк хотел сказать что мостов может быть несколько и можно сделать любую конфигурацию, на какую хватит фантазии. представьте себе: драйвер-домен может создать множество мостов, каждый из которых соединяет пару domU, и одним из этой пары будет ваш мультиинтерфейсный домен-фильтр/маршрутизатор. кроме этого, фильтр подключен (тоже мостом и отдельным виртуальным сетевым интерфейсом) к драйвер-домену и еще одним таким же мостом - объединен с физической картой, управляемой драйвер-доменом и "смотрящей" во внешнюю сеть. таким образом фильтр будет центральной точкой звезды, один из лучей которой полуфизический, остальные - только виртуальные. "полуфизический" интерфейс можно сделать физическим, передав управление сетевой картой домену-фильтру

стоит заметить, что несмотря на то, что мосты создает драйвер-домен, он может к ним быть не подключен, реализуя т.о изоляцию всех от всего

тоже стоит заметить, что традиционно xen поставляется с набором примеров для трех популярных сетевых моделей: bridge, router и nat. разобравшись с этими примерами вы сможете строить любые конфигурации. помочь в разбирании может xen wiki и/или книги, наверняка их несколько, может быть, есть и отечественных авторов. я не видел такого, кроме однажды прочитанной 'running xen' авторши jeanna matthews
Спасибо сказали:
transcendent
Сообщения: 3
ОС: Debian 6

Re: Межсетевой экран в Xen

Сообщение transcendent »

Такая идея мне тоже приходила в голову. Пожалуй, самый большой ее недостаток в том, что для каждого нового domU придется создавать новый интерфейс в домене ВМ-МЭ и новый xenbr.
И делать это, увы, придется своими руками и часто. Это уже специфика решаемой задачи.
Хотелось бы фильтровать трафик на уровне виртуального моста (коммутатора), но своим собственным межсетевым экраном.

В любом случае, спасибо за ответы!
Спасибо сказали:
Ответить