xen, bridged networking, iptables, communication way

UNIX haladó

Akinek van tapasztala xen-el vagy bridge-elt halozattal az kerem vilagositson fel par dologrol, mert nem birok rajonni a pontos mukodese itt-ott es leirast se talaltam igazan.
Van egy xen szerver bridge-elt haloban, egyertelmuseg kedveert alabbi linken ertve xen case 1:bridged networking resz:
http://wiki.kartbuilding.net/index.php/Xen_Networking#Routed_Networking…

Maga a xen mukodik, DomU-k is, csak eddig nem tettem ra normalis tuzfalat es ezzel probalkozok jelenleg de nem sikerul.
Amit szeretnek az egy tobbnyire altalanos tuzfal (dom0-n) miszerint (az adott domain szemszogebol nezve) kifele meno csomagok engedve vannak, bejovok csak a kimenore erkezo valaszok meg persze a kivetelek. De nem sikerult rajonnom pontosan mikor hogy ertelmezi az adott domain szempontjabol (dom0 vagy domU-k), mi szamit kimeno ill. bejovo csomagnak es melyik interface-en (eth0, peth0, vif0.0 stb. vannak).

Rovidre fogva amire szuksegem lenne az egyertelmu magyarazat a dom0-bol hasznalva melyik VM-nek hogy ertelmezi a csomag iranyat es min keresztul, ill. ki milyen modszert javasol erre?

  • 1301 megtekintés

( YanChi | 2008. 08. 20., sze – 11:02 )

Lehet, hogy a te problémádra nem ez a megoldás, de én a tűzfalat külön virtuális gépre szoktam tenni, és NAT-olt hálót teszek mögé. Szimpatikusabb megoldás, mert a dom0 így nincs kint a hálón közvetlenül, lényegesen védettebb.

Lehet felreertetted, nem kimondottan tuzfalnak akarom hasznalni, csak a domU-knak akarok egy egyseges altalanos tuzfalat (emelle VM-enkent ha kell meg azokra tehetek plusz tuzfalat).
Natolnom jelenleg nem kell mert bridge-elt halozat, van lehetoseg publikus ip-kre VM-eknek is, konnyebb es jobb is ezaltal, minek nehezitsem meg az eletem azzal, h alhaloba tegyem oket es meg natolassal jatszak, szamomra semmivel se jobb sztem, csak plusz munka.
Emelett attol meg ugyanugy fennall a tuzfal kerdese, mert nem ip-ket akarok megadni hanem altalnos egyszeru szabalyokat, pont azert, h ne kelljen minden uj VM-nel ezt modositgatni, hanem arra is ervenyes legyen, h pl bejovo csomagok engedelyezett ha valaszkent erkezik vagy pl ssh, kimeno meg engedve van.

( blackluck v | 2008. 08. 21., cs – 15:28 )

Egy kis up , h jobban teljen a mai nap!