我有一个专用的 Linux (Debian 7.5) 根服务器,并设置了许多来宾服务器。来宾是 KVM 实例,并通过桥接工具(NAT、内部 IP、使用主机作为网关)获得网络访问权限。
例如,一个 KVM 是我的 WebServer 来宾,它可以通过主机 IP 以这种方式访问:
iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z
--dport 80 -j DNAT --to-destination 192.168.100.X:80
我对其他服务也做同样的事情,让它们保持独立、NATed 和隔离。
但是一个来宾应该是网络监视器,并且应该执行网络流量检查(如 IDS)。通常,在非虚拟设置中,我会使用 VACL 或 SPAN 端口来镜像流量。当然,在这台主机中,我不能这样做(很容易,因为我不想使用复杂的虚拟交换方法)。
vnet1.vnet1作为管理接口(带有 IP)时,来宾是否需要特定的接口设置?我很高兴能指出正确的方向:
iptables 1.4.14-3.1
linux 3.2.55
bridge-utils 1.5-6
非常感谢 :)