आईने के माध्यम से मिरर पोर्ट

11

मेरे पास एक समर्पित लिनक्स (डेबियन 7.5) रूट सर्वर है, जिसमें कई मेहमान सेट हैं। मेहमान केवीएम उदाहरण हैं, और पुल-बर्तनों के माध्यम से नेटवर्क एक्सेस प्राप्त करते हैं (एनएटी, आंतरिक आईपी, गेटवे के रूप में मेजबान का उपयोग करते हैं)।

उदाहरण के लिए एक KVM मेरा वेबसर्वर अतिथि है, और यह इस तरह से होस्ट आईपी के माध्यम से सुलभ हो जाता है:

    iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z 
--dport 80 -j DNAT --to-destination  192.168.100.X:80

मैं अन्य सेवाओं के साथ भी ऐसा ही करता हूं, उन्हें आत्म-निहित, नैट और अलग-थलग रखता हूं।

लेकिन एक अतिथि को एक नेटवर्क मॉनिटर माना जाता है, और नेटवर्क ट्रैफ़िक निरीक्षण (आईडीएस की तरह) करेगा। आमतौर पर, एक गैर आभासी सेटअप में मैं ट्रैफ़िक को मिरर करने के लिए VACL या SPAN पोर्ट का उपयोग करता हूँ। बेशक, इस एक मेजबान के अंदर, मैं ऐसा नहीं कर सकता ( आसानी से , क्योंकि मैं जटिल वर्चुअल स्विचिंग दृष्टिकोण का उपयोग नहीं करना चाहता)।

  1. क्या मैं iptables का उपयोग करके पोर्ट मिरर प्राप्त कर सकता हूं, और एक केवीएम गेस्ट में सभी इनग्रेस और इग्रेस ट्रैफिक को रीडायरेक्ट कर सकता हूं? सभी मेहमानों के पास एक समर्पित इंटरफ़ेस है, जैसे vnet1
  2. क्या प्रोटोकॉल के आधार पर, ट्रैफ़िक के आधार पर चुनिंदा फ़ॉरवर्ड करना संभव है (जैसे VACL फ़ॉरवर्ड नियम, जो केवल HTTP को पकड़ लेता है)?
  3. क्या मेहमानों को एक विशिष्ट इंटरफ़ेस सेटअप की आवश्यकता है, जब मुझे vnet1प्रबंधन इंटरफ़ेस (आईपी के साथ) के रूप में रखने की आवश्यकता है ?

मुझे सही दिशा में एक बिंदु के लिए खुशी होगी:

iptables         1.4.14-3.1
linux            3.2.55
bridge-utils     1.5-6

बहुत बहुत धन्यवाद :)

networking  iptables  linux-kvm 
wishi
स्रोत

जवाबों:

14

रूट सर्वर के पूर्ववर्ती रूटिंग मॉड्यूल के बारे में क्या है जैसे कि कुछ के द्वारा नियम तालमेल तालिका नियम:

iptables -I PREROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

और फिर कुछ के द्वारा रूटिंग मॉड्यूल Mangle तालिका नियमों को तैयार करना

iptables -I POSTROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

जहां 192.168.200.1 नेटवर्क मॉनिटर है।

ये नियम 192.168.200.1 को अग्रेषित करने वाले सभी आने वाले और आने वाले यातायात को प्रतिबिंबित करेंगे

संपादित करें:

mangle table specific
  -j ROUTE            (explicitly route packets, valid at PREROUTING)
      options:
      --iface <iface_name>
      --ifindex <iface_idx>

लेकिन आप कुछ का उपयोग भी कर सकते हैं 

iptables -I PREROUTING –t mangle –i eth0 –j TEE –gateway 192.168.200.1

तथा

iptables -I POSTROUTING –t mangle –j TEE –gateway 192.168.200.1

जहां TEEअब एक लक्ष्य है जो PREROUTINGअधिक विकल्प जैसे कि , आदि -i, लेता है-p

थपथपाना
स्रोत
एनबी से एसई पाठकों के नए संस्करणों का उपयोग करते हुए iptablesअब ROUTEलक्ष्य को unix.stackexchange.com/a/174619/31228 पर देखें
जोनाथन बेन-अवराम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.