Мы получили электронное письмо от сетевой команды Hetzner с просьбой не использовать MAC-адреса, принадлежащие виртуальным машинам, принадлежащим подсети.
Мы настроили хост сервера Xen как маршрутизатор используя это руководство.
После запроса дополнительных деталей служба поддержки Hetzner ответила, что обычно сетевая конфигурация вашего гипервизора должна позволять пакетам выходить из системы только с MAC-адресом реальной сетевой карты.
Но если вы не обнаружите проблему, вы можете попытаться заблокировать эти исходящие пакеты с помощью IPtables.
Итак, наши вопросы:
Спасибо
Я обратился решение с superuser.com. Это сработало для меня
Все кредиты Алексею Дегтяреву
Спасибо сетевой команде Hetzner за то, что они указали на решение, но я пошел в неправильном направлении, пытаясь создать второй xenbr в той же сети и назначить ему VIF. Но это не работает, потому что после перезапуска виртуальной машины номер VIF восстанавливается.
В Hetzner у вас есть два типа дополнительных IP-адресов, которые вы можете использовать с выделенным сервером: одиночный IPv4 и подсеть IPv4. Для каждого IP-адреса вы получаете MAC-адрес, и вы должны использовать этот MAC-адрес в сетевом интерфейсе нового экземпляра виртуальной машины. Для каждой дополнительной подсети вы должны настроить новую сеть и настроить маршрутизацию между этой сетью и сетью по умолчанию (связанной с eth0) сервера.
В XenServer это можно сделать с помощью консоли Linux:
xe network-create name-label="Additional network" name-description="46.xx.yy.zz/28"
Совет 1: мост xapi0 не отображался на хосте, пока я не назначил одну из виртуальных машин для новой сети в Xen Center. Просто совет, который может сэкономить время, если это случится с кем-нибудь еще.
Это создаст новую сеть, подключенную к новому мосту (по умолчанию xapi0) в XenServer. Затем назначьте этому мосту первый доступный IP-адрес сети (в соответствии с его сетевой маской):
ip addr add 46.xx.yy.1/28 dev xapi0
Теперь вы можете добавлять новые виртуальные машины с автоматически сгенерированными MAC-адресами, подключенными к вновь созданной сети вместо сети по умолчанию. Трафик будет коммутироваться и маршрутизироваться внутри XenServer.
После такой настройки я получил подтверждение от сетевой команды Hetzner, что на коммутаторе видны только разрешенные MAC-адреса.
Совет 2: вы можете убедиться, что на eth0 больше нет оскорбительного трафика с вашей стороны на хосте:
tcpdump -i eth0 -en|egrep -i 'mac1|mac2'
Вместо этого все это должно быть видно на xapi0
tcpdump -i xapi0 -en|egrep -i 'mac1|mac2'
Где mac1, mac2 - MAC-адреса, указанные Hetzner как запрещенные.