Como posso corrigir esta configuração errada / incompleta do roteamento Xen?

1

Tenho alguns hosts Xen configurados no modo em ponte, cujas VMs usam IPs públicos ou privados:

Anfitrião # 1

  • dom0: 3.3.3.71
  • dom1: 10.0.2.10
  • dom2: 3.3.3.85
  • dom3: 10.0.2.11

Anfitrião # 2

  • dom0: 3.3.3.72
  • dom1: 3.3.3.86
  • dom2: 10.0.2.12
  • dom3: 10.0.2.13

Anfitrião # 3

  • dom0: 3.3.3.73
  • dom1: 10.0.2.14
  • dom2: 10.0.2.15
  • dom3: 3.3.3.87

VMs com IPs públicos (3.3.3. *) podem ser acessadas pela Internet. VMs com IPs privados podem ser acessadas entre si e esse é um comportamento desejado. No entanto, eles não podem acessar a Internet porque não há um gateway 10.0.2.1 na sub-rede local. Como posso consertar isso?

Uma solução seria configurar um servidor com uma interface 10.0.2.1 para atuar como um NAT. No entanto, eu não quero nenhum SPOF e gostaria que cada host fizesse seu próprio NAT usando o endereço IP público atribuído ao dom0.

Eu acredito que isso é apenas uma questão de configurar o iptables no dom0. Se isso está correto, como?

    
por Alessandro 24.04.2011 / 18:45

2 respostas

1

Eu encontrei a seguinte solução. Ainda estou aberto a boas alternativas e sugestões.

Em cada host Xen:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -m physdev --physdev-in vif5.0 -o eth0 \
    -j SNAT --to-source 3.3.3.71

Em cada domU tendo um IP privado (10.0.2. *):

route add -net 3.3.3.0 netmask 255.255.255.0 dev eth0
route add default gw 3.3.3.71
route del default gw 10.0.2.1
    
por 25.04.2011 / 12:09
0

Existe algum motivo para você não conectar as DomUs que precisam de acesso à internet nas pontes da internet?

Se você não quiser isso - conecte uma das suas DomUs conectadas à Internet às pontes "privadas" e instale um proxy no (squid). Entre em contato com esse proxy ...

Eu não acho que é uma boa idéia conectar um Dom0 à internet - mas você terá suas razões ...

    
por 18.05.2011 / 21:30