LINUX.ORG.RU
решено ФорумAdmin

iptables на proxmox: не удается заблокировать транзитный трафик

 ,


1

2

Добрый день! Сервер в ДЦ, установлен proxmox 3.4 и имеется несколько виртуалок (преимущественно centos). Сетевые (физическая и виртуальные) объединены в мост vmbr0. У каждой виртуалки отдельный белый адрес.

Периодически начинает валить паразитный трафик, где ни источник, ни назначение не соответствуют моим адресам:

15:52:09.629073 IP 79.137.180.117.40184 > 181.94.254.233.sns-channels: Flags [S], seq 2409631935, win 1024, length 0
15:52:09.629074 IP 79.137.180.117.40184 > 181.97.194.241.sns-channels: Flags [S], seq 2555911629, win 1024, length 0
15:52:09.629075 IP 79.137.180.117.40184 > 181.118.232.153.csms2: Flags [S], seq 2528343571, win 1024, length 0

Насколько я понимаю, первым делом трафик попадает в -t raw PREROUTING Пробую дропать: iptables -t raw -A PREROUTING -s 79.137.180.117 -d 0.0.0.0/0 -j DROP

но трафик по прежнему видно в tcpdump -n и на гипервизоре, и на виртуалках.

Видимо, он «зеркалируется» на виртуалки ДО того, как поступает в iptables?

Как правильно избавится от паразитного трафика?


Ну во первых tcpdump фиолетово на iptables. А во вторых если установлено bridge-nf-call-iptables=0 то через бридж проходят все пакеты минуя iptables.

voltmod ★★★
()
Ответ на: комментарий от voltmod

Добрый день! bridge-nf-call-iptables не установлено вообще. Есть ли смысл настраивать прохождение пакетов через iptables гипервизора для моста, с целью отсекать по черному списку дублирование пакетов на виртуалки? Вторая цель - снижение нагрузки при таком транзите, все это дублируется на софтовые сетевые всех виртуалок.

whoim
() автор топика
Ответ на: комментарий от voltmod

Добавлю - tcpdump показывает эти пакеты на гипервизоре - это нормально, я понимаю. Я хотел бы чтобы они не доходили до виртуалок.

В сети написано, что -t raw не имеет -j DROP и т.д. Только NOTRACK. На практике -j DROP работает, я провел эксперимент. Пинговал с левой машины виртуалку, на гипервизоре загнал адрес этой машины в -t raw PREROUTING -j DROP и пинг прекратился (ответы от виртуалки прекратились). Напоминаю - пинговал виртуалку, а загонял в DROP на гипервизоре.

По итогу запутался)

whoim
() автор топика

Периодически начинает валить паразитный трафик, где ни источник, ни назначение не соответствуют моим адресам:

Не вижу проблемы, это не ваш трафик а соседей (Вы зачем соседей подслушиваете?).

anc ★★★★★
()
Ответ на: комментарий от anc

я был бы рад их не подслушивать, но иногда их «пробивает». Причем по вхуизу расположение далеко не соседское.

Проблема в том, что этого трафика бывает так много, что сервер начинает ложиться. Этот трафик дублируется на все виртуалки, нагружая цпу. Это и есть моя проблема.

Конечно, вопросы к ДЦ, но бывает они их решают не быстро. Да и интересно, что делать, как быть..

Если трафик касается гипервизора или виртуалок - он фильтруется. А такой вот транзитный - не фильтруется. Подозреваю, его особо и фильтровать не нужно. Нужно не допускать его на виртуалки. Но как?

whoim
() автор топика
Ответ на: комментарий от voltmod

пробовал и в фильтр, и в рав.. Если трафик касается гипервизора или виртуалок - это срабатывает, если он чужой - нет.

whoim
() автор топика

может быть у тебя стоит «не дропать марсианские пакеты»?

anonymous
()
Ответ на: комментарий от whoim

Проблема в том, что этого трафика бывает так много, что сервер начинает ложиться. Этот трафик дублируется на все виртуалки, нагружая цпу.

Я все равно не понимаю, каким образом оно может нагружать цпу. Вот смотрите, возмем не управляемый свич в локалке, запустим tcpdump который в (promiscuous работает) и естественно увидим весь трафик локалки.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.