XEN Shit

Virtualizáció

Sziasztok, ilyet még nem láttam.

Adott:

dom0 ------xenbr0-------ADMIN ZONE

Az admin zónában 3 gép van, mindegyik a xenbr0 -ra kapcsolva: DNS/DHCP, SQL, LOG szerverek.

10.10.50.0/24es hálóban vannak, előbbi sorrendben .2, .3, .4 -es IP végződéssel.

A routing táblája mindenek ez:

log:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.50.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.10.50.1 0.0.0.0 UG 0 0 0 eth0

a 10.10.50.1 es cím a bridge címe, amivel a dom0 -hoz kapcsolódik.

A DNSszerver mindenki névszervere, mind a virtuálisgépeké, mind a dom0 -é.Tökéletesen működik minden, pl. egy egyszerű ping a LOGszerverről az SQLszerver felé. EGy traceroute is jól mutatja a kapcsolatot:

log:~# ping sql
PING sql.xen.hu (10.10.50.3) 56(84) bytes of data.
64 bytes from sql.xen.hu (10.10.50.3): icmp_seq=1 ttl=64 time=0.205 ms
64 bytes from sql.xen.hu (10.10.50.3): icmp_seq=2 ttl=64 time=0.169 ms

log:~# traceroute sql
traceroute to sql.xen.hu (10.10.50.3), 30 hops max, 40 byte packets
1 sql (10.10.50.3) 0.166 ms 0.245 ms 0.129 ms
log:~#

A dom0 -án felállítok egy tűzfalat és ezek az alap policy -k:

###################################################################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK

$FW net ACCEPT
lan net ACCEPT
smb net ACCEPT
web net ACCEPT
admin net ACCEPT
net all DROP info
all all REJECT info

A lan, smb, web zónák más hálózatok, itt nem játszanak szerepet egyébként ők is a dom0 -hoz vannak kötve. Ha a tűzfalat elindítom (csak a policyk vannak beállítva a fent említett formában), a logszerver nem tudja pingetni se az sql -t se a dns -t. ha traceroutolok ugyanúgy az sql felé, azt a választ kapom, hogy a 10.10.50.1 -es átjárón akar kimenni. LOL

Arra is rájöttem, hogy a dom0 -án nem működik a névfeloldás, vagyis szerintem tuti, hogy a 10.10.50.1 -es interfész, azaz maga a bridge okozza ezt. Azt is meg tudom mondani, hogy ennek a sornak a hatására történik ez:

all all REJECT info

mert ha kikommentezem és átírom erre:

all all ACCEPT

Akkor minden tökjól működik. Arra gondolok, hogy valamit nem tudok a bridge -ek működéséről. Mi lehet a probléma?

  • 1523 megtekintés

( acidalcohol | 2009. 03. 09., h – 16:37 )

Változtattam a policy -n ilyenre:

###############################################################################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK

$FW all ACCEPT
all $FW ACCEPT
net all DROP info
all all REJECT info

Így megy a dom0 -ból a névfeloldás, tudok is ssh -zni a logszerverre, tehát a dom0 és az adminzóna közötti kapcsolat mintha rendben lenne.

A logszerver még mindig az átjárón akar kimenni pingelés esetén... A tűzfal egy Shorewall tűzfal.

( meroksz | 2009. 03. 09., h – 17:21 )

Üdv,

Nemtudom hogy segít-e esetleg valamit a dolog, amit tapasztaltam. VmWareESX-esn virtualizálunk, és neki volt az a huncut huzása hogy alapból megmahinálta a netfiltert, egy két bejegyzéssel ami szerinte kellet oda, és volt hogy ssh-zni nem tudtam.
Illetve szintén virtualizáláskor a host gépen bállított DROP ne drop ként működött hanem REJECT-ként. a vmware a karirol elvette a csomagot (tcp ezért vissza igazolás ment is) majd a host-nak ment tovább ami drop-olta, de már ment vissza csomap, az nmap meg filtered-nek mutatta a portot, ami elméletileg ugye drop.
A guest gépek virt. interface-ei közötti csomag utvonalat nyilván a (jelen esetben) XEN szabályozza. Nemlehet hogy neked is valahogyan a virtualizálós prog tesz keresztbe?

( acidalcohol | 2009. 03. 09., h – 17:48 )

Megvan a megoldás. Opcióként a Shorewall interfaces fájljában meg kell adni a bridge mellett routeback opciót.

OPTIONS (Optional) - [-|option[,option]...]

A comma-separated list of options. The order of the options is not important but the list can contain no embedded whitespace. The currently-supported options are:

routeback

Set up a rule to ACCEPT traffic from these hosts back to themselves.

Így minden oké. Valahogy így:

#ZONE INTERFACE BROADCAST OPTIONS

lan xenbr0 detect routeback
net xenbr2 detect routeback
smb xenbr3 detect routeback
web xenbr4 detect routeback
admin xenbr5 detect routeback