আমার ফায়ারওয়াল (iptables) কেন আমার সেতুতে (ব্র্যাক্টেল) হস্তক্ষেপ করে?

11

আমি br0দুটি ইন্টারফেসের সাথে একটি সেতু "সংযুক্ত" স্থাপন করেছি :

  • eth0, আমার দৈহিক ইন্টারফেসটি আসল ল্যানের সাথে সংযুক্ত,
  • vnet0, একটি কেভিএম ভার্চুয়াল ইন্টারফেস (একটি উইন্ডোজ ভিএম এর সাথে সংযুক্ত)।

এবং আমার এই ফরোয়ার্ড চেইনে ফায়ারওয়াল নিয়ম রয়েছে: 

iptables -A FORWARD -j REJECT

এখন, কেবল পিং যা কাজ করছে তা ভিএম থেকে হোস্ট পর্যন্ত।

br0ইন্টারফেস আমার হোস্ট মেশিনের IP ঠিকানা মালিক। eth0এবং vnet0হোস্ট দৃষ্টিকোণ থেকে কোনও আইপি "নিজের" করবেন না। উইন্ডোজ ভিএমের একটি স্ট্যাটিক আইপি কনফিগারেশন রয়েছে।

যদি আমার iptablesনিয়মটি পরিবর্তন করে ACCEPT(বা আরও সীমাবদ্ধ ব্যবহার করে iptables -A FORWARD -o br0 -j ACCEPT), সবকিছু ঠিকঠাক চলছে! (অর্থাত্ আমি ভিএম থেকে যে কোনও ল্যান মেশিন পিন করতে পারি, এবং অন্যভাবেও রাউন্ডে)।

সমস্ত আইপি ফরোয়ার্ডিং কার্নেল বিকল্পগুলি অক্ষম করা (যেমন net.ipv4.ip_forward = 0)।

সুতরাং, নেটফিল্টার ফায়ারওয়াল এমন কিছুকে কীভাবে ব্লক করতে পারে যা এমনকি সক্ষম নয়?

তদ্ব্যতীত, ভিএম - ল্যান ট্র্যাফিক কেবলমাত্র বোঝানো উচিত eth0এবং vnet0। তবুও দেখে মনে হচ্ছে -o br0"কাজগুলি" দিয়ে ফরওয়ার্ড ট্র্যাফিকের অনুমতি দেওয়া হয়েছে (যদিও আমি খুব সাবধানে চেক করি নি)।

iptables  virtual-machine  firewall  bridge 
Totor
সূত্র
আমার এই উত্তর ও উত্তর প্রশ্নটিতে একবার দেখুন: সেতু ব্যবহার করার সময় সেটিংস
slm
1
আউটপুটটি কীsysctl -a | grep bridge-nf
স্টাফেন চেজেলাস
@ স্টাফেনচাজেলাস net.bridge.bridge-nf-call-arptables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-filter-vlan-tagged = 0 net.bridge.bridge-nf-filter-pppoe-tagged = 0
টোটার

উত্তর:

10

মন্তব্য Stéphane Chazelas থেকে উত্তর ইঙ্গিতটি প্রদান করে।

ব্রিজ-এনএফ অনুসারে প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী ব্রিজ-এনএফ ব্রিজড ট্র্যাফিক দেখতে আইপটিবল, আইপ 6 টেবিল বা আর্টেবলকে সক্ষম করে।

কার্নেল সংস্করণ ২.6.১ অনুসারে, ব্রিজ-এনএফ আচরণীয় নিয়ন্ত্রণের জন্য পাঁচটি সিস্টেল এন্ট্রি রয়েছে :

  • bridge-nf-call-arptables - আর্টেবলগুলির ফরওয়ার্ড চেইনে ব্রিজযুক্ত এআরপি ট্র্যাফিক পাস করুন।
  • bridge-nf-call-iptables - ব্রিজযুক্ত আইপিভি 4 ট্র্যাফিককে আইপটিবলের শৃঙ্খলে পাস করুন।
  • bridge-nf-call-ip6tables - ব্রিজযুক্ত আইপিভি 6 ট্র্যাফিক আইপি 6 টেবিলের চেইনে পাস করুন।
  • bridge-nf-filter-vlan-tagged - ব্রিজযুক্ত ভ্লান-ট্যাগযুক্ত এআরপি / আইপি ট্র্যাফিকগুলি / আইপিটেবলগুলিতে ট্র্যাফিক পাস করুন।
  • net.bridge.bridge-nf-filter-pppoe-tagged - ব্রিজযুক্ত পিপ্পো-ট্যাগ আইপি / আইপিভি 6 ট্র্যাফিককে {আইপি, আইপ 6} টেবিলগুলিতে পাস করুন

আপনি নেটফিল্টার ফায়ারওয়াল ব্লকিং এর সাথে অক্ষম করতে পারেন: 

# sysctl -w net.bridge.bridge-nf-call-iptables=0
# sysctl -w net.bridge.bridge-nf-call-ip6tables=0
ম্যাথিয়াস ওয়েডনার
সূত্র
4
লিনাক্স ৩.১৮, যেহেতু iptables ব্রিজ থেকে প্যাকেটগুলি পরিচালনা করে তার কার্যকারিতা br_netfilterমডিউলটি লোড না করে অক্ষম করা যায় । মডিউলটি লোড না করা /proc/sys/net/bridge/মানেও কোনও প্রবেশ নেই।
লেকেনস্টেইন
এবং লিনাক্স কার্নেল 5.3 যেহেতু এই বৈশিষ্ট্যটি বিশ্বব্যাপী পরিবর্তে নেমস্পেসে পরিণত হয়।
এবি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.