Iptables এর মাধ্যমে মিরর পোর্ট


11

আমার কাছে একটি ডেডিকেটেড লিনাক্স (ডেবিয়ান 7.5) রুট সার্ভার রয়েছে, যার সাথে প্রচুর অতিথি সেট আপ করা আছে। অতিথিরা কেভিএম দৃষ্টান্তগুলি এবং সেতু-ইউটিসগুলির মাধ্যমে নেটওয়ার্ক অ্যাক্সেস পান (NAT, অভ্যন্তরীণ আইপি, হোস্টটিকে গেটওয়ে হিসাবে ব্যবহার করুন)।

যেমন একটি কেভিএম হ'ল আমার ওয়েব সার্ভার অতিথি, এবং এটি হোস্ট আইপি-র মাধ্যমে এভাবে অ্যাক্সেসযোগ্য হয়:

    iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z 
--dport 80 -j DNAT --to-destination  192.168.100.X:80 

আমি অন্যান্য পরিষেবাদিগুলির সাথে একই জিনিস রাখি, এগুলি স্ব-নিরপেক্ষ, NATed এবং বিচ্ছিন্ন রেখে।

তবে একজন অতিথি নেটওয়ার্ক মনিটর হিসাবে বিবেচিত হবে এবং এটি নেটওয়ার্ক ট্র্যাফিক পরিদর্শন (আইডিএসের মতো) সম্পাদন করবে। সাধারণত, কোনও ভার্চুয়াল সেটআপে আমি ট্র্যাফিকটি মিরর করার জন্য VACLs বা স্প্যান পোর্ট ব্যবহার করতাম। অবশ্যই, এই এক হোস্টের অভ্যন্তরে, আমি এটি করতে পারি না ( সহজেই , কারণ আমি জটিল ভার্চুয়াল স্যুইচিং পদ্ধতির ব্যবহার করতে চাই না)।

  1. আমি কি iptables ব্যবহার করে একটি পোর্ট মিরর পেতে পারি এবং সমস্ত ইনগ্রেশন এবং অ্যাড্রেস ট্র্যাফিককে কোনও কেভিএম অতিথির সাথে পুনর্নির্দেশ করতে পারি? সমস্ত অতিথিদের মতো একটি উত্সর্গীকৃত ইন্টারফেস রয়েছে vnet1
  2. প্রোটোকলের উপর ভিত্তি করে ট্র্যাফিকের বাছাইপথে ফরোয়ার্ড করা সম্ভব (কোনও ভিএসিএল ফরোয়ার্ড নিয়মের মতো, যা কেবলমাত্র এইচটিটিপি দখল করে)?
  3. যখন আমাকে vnet1ম্যানেজমেন্ট ইন্টারফেস হিসাবে রাখতে হবে (আইপি সহ) অতিথিদের একটি নির্দিষ্ট ইন্টারফেস সেটআপ প্রয়োজন ?

আমি সঠিক দিকের এক পয়েন্টের জন্য খুশি হব:

iptables         1.4.14-3.1
linux            3.2.55
bridge-utils     1.5-6

অনেক ধন্যবাদ :)

উত্তর:


14

রুট সার্ভার প্রি-রাউটিং মডিউল ম্যাংলে টেবিলের নিয়মগুলি এমন কিছুর মাধ্যমে নিয়মাবলী সম্পর্কে কী বলা যায়:

iptables -I PREROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee

এবং তারপরে রাউটিং-পরবর্তী মডিউলটি ম্যাংলে টেবিলের নিয়মের মতো কিছু তৈরি করে ending

iptables -I POSTROUTING -t mangle -j ROUTE --gw 192.168.200.1 --tee 

যেখানে 192.168.200.1 হল নেটওয়ার্ক মনিটর।

এই নিয়মগুলি আগত সমস্ত আগমনকারী এবং আগত ট্র্যাফিকগুলি এটি 192.168.200.1 এ ফরোয়ার্ড করবে mirror

সম্পাদনা:

mangle table specific
  -j ROUTE            (explicitly route packets, valid at PREROUTING)
      options:
      --iface <iface_name>
      --ifindex <iface_idx> 

তবে আপনি এর মতো কিছু ব্যবহার করতে পারেন

iptables -I PREROUTING –t mangle –i eth0 –j TEE –gateway 192.168.200.1

এবং

iptables -I POSTROUTING –t mangle –j TEE –gateway 192.168.200.1

যেখানে TEEএখন একটি টার্গেট যা হয় PREROUTINGঅর্থাত মত আরও বিকল্প লাগে -i, -p, ইত্যাদি


সেগুলির নতুন সংস্করণগুলি ব্যবহার করে এসই পাঠকদের জন্য এনবি থেকে iptablesআর ROUTEলক্ষ্য নেই আমার উত্তরটি unix.stackexchange.com/a/174619/31228দেখুন
জোনাথন বেন-অভ্রাহাম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.