Прохождение трафика через цепочки iptables в bridge'ах. [Решено]
Доброго времени суток.
Собственно интерисует как iptables отрабатывает трафик идущий через bridge'ы (в бриджах напиханы tap'ы, которые подключены к ВМ).
Предвижу вопрос "для чего городить сеть в пределах одного хоста" и сразу отвечу - "для тестирования этой самой сети, а именно клиентов и серверов в ней находящихся".
Итак что меня смущает:
После настройки iptables (по людски, то есть - поведение по-умолчанию - DROP, а правила в таблице filter только с -j ACCEPT) перестали работать bridge'ы - как только поменял policy на ACCEPT трафик начал ходить.
Вот и стало любопытно как iptables отрабатывает bridge'ы с tap'ами.
Сразу уточню - ip-шники назначены только bridge'ам, на tap'ах - ни ipv4, ни ipv6 нет (смысл? - после внесения интерфейса в bridge система начинает игнорировать его адрес).
О ebtables сейчас почитаю, ибо еще не сталкивался на практике.
А по iptables я вижу только два возможных сценария:
1. Закольцовывание трафика проиходит в самому bridge'е, то есть, допустим есть bridge brv, в него входят два интерфейса tap0 и tap1, ip на brv равен 192.168.0.1/24, на tap'ах - не назначены, все три устройства подняты, за тапами две ВМ (1 tap на 1 ВМ), ip ВМ1 = 192.168.0.2/24, ip ВМ2 = 192.168.0.3/24). С точки зрения iptables трафик приходит на интерфейс brv и на него же и форвардится, а .т.к в текущих цепочках упоминаний об этом интерфейса нет то на него применяется default policy.
2. Входящий интерфейс - tap0, исходящий - tap1...
В общем второе неверно, т.к. после добавления правила iptables -A FORWARD -i brv -o brv -j ACCEPT трафик начал идти.
Хитро..
В общем это уже больше заметка чем проблема выходит.
Или я чего-то неправильно настроил что такой результат?
- Для комментирования войдите или зарегистрируйтесь
бридж практически не работает
бридж практически не работает с айпишками , IPtables практически не работают с кадрами/фреймами L2 ......
В бридже трафик не подымается на L3/L4
Это теория.
практика - что конкретно хочешь сделать ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Мне надо было реализовать
Мне надо было реализовать виртуальный свитч который соединит две вм друг с другом (соединение с хостовой ОС взял как пример, на самом деле это не требуется). И таких свитчей было несколько, но это не столь важно - по одному правилу на каждый bridge и все снова работает.
Вот и удивился почему iptables рубит трафик о котором даже знать не должен (неправильно понимал работу netfilter'a и bridge).
Мне надо было реализовать
Совсем свитч, навороченный -
et-misc/vde Available versions: 2.2.2 (~)2.3.1 {pcap ssl static-libs} Homepage: http://vde.sourceforge.net/ Description: vde2 is a virtual distributed ethernet emulator for emulators like qemu, bochs, and uml.П.С а какова причина не юзать либвирт ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
о vde слышал, но еще с ним не
о vde слышал, но еще с ним не сталкивался, надо будет покрутить.
libvirt... Для начала хочу все руками делать вручную, чтобы понимать откуда корни растут, а во-вторых я его еще не знаю, в смысле не знаю как пользоваться. До него дойдут руки, но чуть позже.
upd:
vde походу будет интереснее простого бриджа, как-то я забыл о нем, спасибо что напомнил.. поковыряю.
Пожалуйста Но если мало, у
Пожалуйста
Но если мало, у нас есть еще и Ядрен-Батон :)
app-emulation/dynamips Available versions: (~)0.2.8_rc2-r1 (~)0.2.8_rc3 Homepage: http://www.gns3.net/content/dynamips-028-rc3-community-version-released Description: Cisco 7200/3600 Simulatorага, именно туда запихивается IOS
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ОГО!! Я так понял с созданием
ОГО!!
Я так понял с созданием темы я не прогадал.
Даже если сам решил и даже если правильно, то хоть узнаю много схожего от тех кто этим интерисовался до меня.
Буду иметь ввиду.
И как оно dynamips vs vde?
И как оно dynamips vs vde?