Encaminhamento de tráfego para IP específico para um convidado KVM

2

Eu tenho um servidor Debian 7 com 5 endereços IP públicos. No servidor, tenho vários convidados do KVM (todos do Debian 8). Um dos convidados precisa estar publicamente acessível usando um dos IPs públicos. Este tem o endereço IP 192.168.122.133 e todos os outros convidados têm IPs no intervalo 192.168.122.50/28 .

Atualmente tenho configurado para que os convidados possam se comunicar uns com os outros, no entanto conexões de entrada e saída externas falham com o convidado que precisa ser publicamente acessível (somente conexões de trabalho de rede local).

Estas são as regras que, acredito, devem encaminhar todo o tráfego de entrada e saída de e para este convidado, mas não parece estar fazendo o que deveria:

/sbin/iptables -t nat -I PREROUTING -d 111.111.111.133 -j DNAT --to 192.168.122.133
/sbin/iptables -t nat -I POSTROUTING -s 192.168.122.133 -j SNAT --to 111.111.111.133
/sbin/iptables -t filter -I FORWARD -d 192.168.122.133 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -s 192.168.122.133 -j ACCEPT

Anteriormente, eu tinha essa configuração e acredito que em determinado momento ela estava funcionando corretamente, mas eu poderia ter mudado alguma coisa ou algum tipo de atualização do sistema poderia ter mudado alguma coisa e agora não está funcionando .

Mais informações:

A rede KVM está configurada:

<network>
  <name>default</name>
  <uuid>261764e8-ef0c-dc57-90b5-4c356ae12bf1</uuid>
  <forward mode='nat'/>
  <bridge name='virbr0' stp='on' delay='0' />
  <mac address='52:54:00:77:D9:2B'/>
  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254' />
    </dhcp>
  </ip>
</network>

E as configurações de rede do convidado são assim:

<interface type='network'>
  <mac address='52:54:00:61:d9:ba'/>
  <source network='default'/>
  <model type='virtio'/>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

Aqui está meu / etc / network / interfaces no servidor host:

# The loopback network interface
auto lo

auto eth3
auto eth3:0
auto eth3:1
auto eth3:2
auto eth3:3

iface lo inet loopback

# The primary network interface
allow-hotplug eth3
iface eth3 inet static
        address 111.111.111.130
        netmask 255.255.255.248
        network 111.111.111.128
        broadcast 111.111.111.135
        gateway 111.111.111.129
        dns-nameservers 8.8.8.8 8.8.4.4 127.0.0.1

iface eth3:0 inet static
    address 111.111.111.131
    netmask 255.255.255.248

iface eth3:1 inet static
    address 111.111.111.132
    netmask 255.255.255.248

iface eth3:2 inet static
    address 111.111.111.133
    netmask 255.255.255.248

iface eth3:3 inet static
    address 111.111.111.134
    netmask 255.255.255.248

Os convidados estão configurados com IPs estáticos. Por exemplo:

iface eth0 inet static
    address 192.168.122.133
    netmask 255.255.255.0
    network 192.168.122.0
    broadcast 192.168.122.255
    gateway 192.168.122.1
    dns-nameservers 192.168.122.1

Acredito que isso é o que permite que os convidados que não devem ser acessados pela Internet acessem a Internet (adaptado de aqui ) - observe, eles estão em um intervalo de IPs ligeiramente diferente:

/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p tcp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p udp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -j MASQUERADE
/sbin/iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.122.50/28 -i virbr0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -s 192.168.122.50/28 -i virbr0 -j ACCEPT
    
por Mike 28.10.2016 / 21:57

1 resposta

0

A solução foi adicionar uma interface de ponte em /etc/networking/interfaces , que de alguma forma foi comentada. Eu anexei o seguinte:

auto br0 
iface br0 inet static
    address 111.111.111.133
    netmask 255.255.255.248
    bridge_ports eth3
    bridge_stp on
    bridge_fd 0
    bridge_maxwait 0

Em seguida, executei ifup br0 para ativar a interface.

    
por 27.12.2016 / 06:02