Поэтому я решил поиграть с EoIP Tunnels
сегодня на двух виртуальных машинах я установил бесплатную пробную версию RouterOS
на них.
Я установил правила iptables
на гипервизоре (который Proxmox
), который предотвращает любой ввод в vms, кроме моего компьютера, но мой OUTPUT
политика ACCEPT
.
Теперь я не могу ping
vms откуда угодно, кроме моего компьютера, и я не могу ping
мои два vms (RouterOS
) друг от друга, но EoIP Tunnel
работает нормально, и я маршрутизирую пакеты с одного RouterOS
к другому.
iptables
config на обоих vms:
IN ACCEPT -source a.b.c.d
IN DROP
(a.b.c.d - IP моего компьютера)
Что я делаю не так?
Конфигурация RouterOS:
ВМ1:
/ip address
# ADDRESS NETWORK INTERFACE
0 r.o.s.1/32 m.a.i.n ether1
1 172.22.22.1/30 172.22.22.0 eoiptunnel
/ip route
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.22.22.2 1
1 ADC m.a.i.n/32 r.o.s.1 ether1 0
2 ADC 172.22.22.0/30 172.22.22.1 eoiptunnel 0
ВМ2:
/ip address
# ADDRESS NETWORK INTERFACE
0 r.o.s.2/32 m.a.i.n ether1
1 172.22.22.2/30 172.22.22.0 eoiptunnel
IP-адреса:
r.o.s.1 : Router OS 1
r.o.s.2 : Router OS 2
m.a.i.n : Main Server IP
Я отслеживаю трафик на моем хост-сервере с помощью iptraf
и я смотрел два RouterOS
видят друг друга через другой интерфейс, на самом деле я понимаю, что для каждой виртуальной машины proxmox
создает 4 интерфейса, поэтому я предполагаю, что «некоторые» пакеты между двумя виртуальными машинами, которые находятся на одном мосту, проходят через другой интерфейс.
Я должен прочитать документацию по нескольким интерфейсам, созданным proxmox
при создании каждой ВМ.
Возможно, вы не делаете ничего плохого.
Ваш iptables
правила блокируют трафик в вашу среду Proxmox, и два ваших гостя общаются друг с другом через внутренний мост.
В iptables
правила не затрагивают мостовой трафик между виртуальными машинами, и это сделано специально. (Если вы перенаправили трафик с одной виртуальной машины на другую через свой хост или попытались выполнить эхо-запрос между виртуальной машиной и хостом, iptables
правила будут применяться.)