Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Ubuntu: фильтрация трафика виртуальной машины, не катит через ufw...
 
На Ubuntu 11.04 поставил Vmware (7.1) и пару виртуальных машин. Подключил их через bridge. Попытался фильтровать их трафик через gufw. Правила для их IP создаются, но не работают... Не могу понять в чём проблема

Через wireshark трафик от виртуальных машин виден как и должен быть: отдельные IP, отличные от адреса физической машины
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
sysctl -a | grep net.bridge покажи :)
 
Цитата
Shanker пишет:
Попытался фильтровать их трафик через gufw.
На каком интерфейсе фильтруешь? Не знаю, как в Vmware, но в KVM, через libvirt в режиме моста по мимо br0 для каждого гостя поднимается интерфейс vnetX. На нем трафик гостя, а на br0 совокупный бриджевый, ну и на eth0 исесно.
Да. net.bridge.bridge-nf-call-* покажи.
Изменено: RU_LIDS - 14.07.2011 10:36:44 (дополнение)
 
Почитай журнал "Хакер" за 12 декабря 2010 номер 143. Там было про твою тему.
 
Извиняюсь, что задав вопрос испарился. Отпуск, знаете ли )

^rage^
RU_LIDS


Цитата
$sudo sysctl -a | grep net.bridge

[sudo] password for admin:

error: permission denided on key 'kernel.cad_pid'

error: permission denided on key 'vm.compact_memory'

error: permission denided on key 'fs.binfmt_misc.register'

error: permission denided on key 'net.ipv4.route.flush'

error: permission denided on key 'net.ipv6.route.flush'


Цитата

net.bridge.bridge-nf-call-*: команда не найдена

Dominator

Спасибо, завтра постараюсь откопать этот журнальчик
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
net.bridge.bridge-nf-call-*: команда не найдена
...-мать-мать - привычно отозвалось эхо.

cat /proc/sys/net/bridge/bridge-nf-call-*
 
Цитата
RU_LIDS пишет:
...-мать-мать - привычно отозвалось эхо.
Ну извиняйте, не настолько я глубокий пользователь линукса )


Цитата
root@shanker-System-Product-Name:/home/shanker# cat /proc/sys/net/bridge/bridge-nf-call-*
cat: /proc/sys/net/bridge/bridge-nf-call-*: Нет такого файла или каталога
root@shanker-System-Product-Name:/home/shanker# cd /proc/sys/net/
root@shanker-System-Product-Name:/proc/sys/net# ls
core  ipv4  ipv6  netfilter  nf_conntrack_max  token-ring  unix

Цитата
RU_LIDS пишет:
На каком интерфейсе фильтруешь? Не знаю, как в Vmware, но в KVM, через libvirt в режиме моста по мимо br0 для каждого гостя поднимается интерфейс vnetX. На нем трафик гостя, а на br0 совокупный бриджевый, ну и на eth0 исесно.
В gufw нет возможности выбрать интерфейс. Я там тупо IP-адреса пишу. ЛОткуда, куда, какой протокол и режим цензурирования (запретить, разрешить, отклонить)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Вот это:
Цитата
Shanker пишет:
Подключил их через bridge.
и вот это:
Цитата
Shanker пишет:
cat: /proc/sys/net/bridge/bridge-nf-call-*: Нет такого файла или каталога
между собой не стыкуется. Почему ты решил, что используешь бридж в хосте (родительской ОС)?
Покажи ifconfig.

Цитата
Shanker пишет:
В gufw нет возможности выбрать интерфейс.
Тогда ты, скорее всего, не сможешь вообще настроить фильтрацию. Мало того, что указывать ифейсы обязательно, так еще для фильтрации на бридже необходимо указывать "--physdev-in" и "--physdev-out" модуля "-m physdev". Почитай.
И на закуску почитай обсуждение по поводу conntrack на бридже.
 
ifconfig на хостовой тачке:

Цитата
eth0      Link encap:Ethernet  HWaddr 00:1c:c0:f7:aa:f3
         inet addr:192.168.0.11  Bcast:192.168.0.255  Mask:255.255.255.0

vmnet1    Link encap:Ethernet  HWaddr 00:50:56:c0:00:01  
         inet addr:172.16.136.1  Bcast:172.16.136.255  Mask:255.255.255.0

vmnet8    Link encap:Ethernet  HWaddr 00:50:56:c0:00:08  
         inet addr:172.16.161.1  Bcast:172.16.161.255  Mask:255.255.255.0

Цитата
RU_LIDS пишет:
Почему ты решил, что используешь бридж в хосте (родительской ОС)?
Потому что в vmware у нужной виртуалки указано:
network adapter: bridged

У этой виртуалки адрес 192.168.0.14

И я совершенно спокойно могу обратиться к ней по этому адресу с любого компьютера подсети


Цитата
RU_LIDS пишет:
Тогда ты, скорее всего, не сможешь вообще настроить фильтрацию. Мало того, что указывать ифейсы обязательно, так еще для фильтрации на бридже необходимо указывать "--physdev-in" и "--physdev-out" модуля "-m physdev".
Т.е. придётся это делать через iptables, раз ufw не позволяет указывать эти параметры и интерфейсы?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Страницы: 1
Читают тему (гостей: 2)