मैं ebtables में आईपी-मैक पेयरिंग नियम बनाने की कोशिश कर रहा हूं । कुछ ट्यूटोरियल और संबंधित प्रश्न उपलब्ध हैं [1] लेकिन मेरे पास विशिष्ट प्रकार की सेटिंग है।
पर्यावरण: मेरे पास कई भौतिक मेजबान हैं । प्रत्येक मेजबान के पास कुछ ईथरनेट कार्ड होते हैं, जो बांड में शामिल होते हैं और पुल के लिए दास के रूप में उपयोग किए जाते हैं। प्रत्येक होस्ट (kvm, qemu, libvirt) पर कई वर्चुअल मशीनें हैं। प्रत्येक वर्चुअल मशीन नए पोर्ट के माध्यम से अपने भौतिक मेजबान के एक पुल से जुड़ा होता है जिसे vnet [0-9] + कहा जाता है। कोई NAT नहीं है। नेटवर्किंग ठीक काम करती है, सभी भौतिक मेजबानों को पिंग किया जा सकता है, सभी वर्चुअल मशीनें भी। प्रत्येक वर्चुअल मशीन का अपना आईपी एड्रेस और मैक एड्रेस होता है।
समस्या: एक वर्चुअल मशीन के अंदर, आईपी पते को दूसरे में बदला जा सकता है।
ध्वनि समाधान: ebtables साइट पर ज्ञात समाधान [2] है, लेकिन यह समाधान केवल एक होस्ट का उपयोग करने पर लागू होता है। यह सभी ट्रैफ़िक की अनुमति देता है और अगर IP से कोई पैकेट है, तो अनुमति के अलावा किसी अन्य मैक के साथ पैकेट को छोड़ दिया जाता है। यदि एक से अधिक होस्ट हैं, तो सभी मौजूदा आईपी-मैक जोड़े को सभी मेजबानों पर पंजीकृत होने की आवश्यकता है। रिवर्स पॉलिसी समाधान की आवश्यकता है।
छंटनी का हल: मैंने उलटे तरीके से एबटैबल्स का उपयोग करने की कोशिश की है। यहाँ एक उदाहरण है जो मैंने कोशिश की।
उदाहरण 1
Bridge table: filter
Bridge chain: INPUT, entries: 2, policy: DROP
-i bond0 -j ACCEPT
-p IPv4 -s 54:52:0:98:d7:b6 --ip-src 192.168.11.122 -j ACCEPT
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
उदाहरण २
Bridge table: filter
Bridge chain: INPUT, entries: 0, policy: ACCEPT
Bridge chain: FORWARD, entries: 1, policy: DROP
-p IPv4 -s 54:52:0:98:d7:b6 --ip-src 192.168.11.122 -j ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
मैं जो चाहता हूं, उसका मूल डिफ़ॉल्ट डीआरओपी है और केवल वर्चुअल मशीन से ट्रैफ़िक को सही आईपी-मैक जोड़ी दिए गए होस्ट पर तैनात करने की अनुमति है। हालांकि, वे समाधान काम नहीं करते हैं।
प्रश्न: केवल वर्चुअल मशीन चलाने की निर्दिष्ट आईपी-मैक जोड़े के लिए पुल पर यातायात की अनुमति कैसे दें और बंदरगाहों से आने वाले सभी अज्ञात आईपी-मैक जोड़े को ड्रॉप करें [0-9] +?
किसी भी उत्तर के लिए बहुत बहुत धन्यवाद।