LINUX.ORG.RU
решено ФорумAdmin

Как правильно не выдать айпи бриджу

 , , ,


0

1

Я хочу изолировать хост на 100% (не фаерволом, а просто изолировать логически, чтобы он не мог получать интернет)

Вот у меня в /etc/network/interfaces указано:

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet manual

auto br0

iface br0 inet static

address: адрес

netmask: нетмаск

bridge_ports eth0

bridge_fd 0

Так все работает, отключаю потом на хосте маршруты и в целом ок.

Но в идеале же вообще бриджу не давать айпи? Мы в этом файле выходит даем айпи бриджу то? (address: айпи). Бридж тут же получает айпи, и в итоге хост может общаться с роутером через бридж.

А как в идеале здесь сделать? Хочу чтобы хост вообще не мог через бридж получать инет. А могла только виртуалка.

Если не вешать айпи на бридж, то это нужно так вписать в etc/network/interfaces?:

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet manual

auto bridge0

iface bridge0 inet manual

bridge_ports eth0

bridge_fd 0

Так? Чтобы не было айпишника и нетмаска. Но у меня что то не работает, может что то не так делаю. Как правильно сделать чтобы у бриджа не было айпи?

Система дебиан 12, гипервизор qemu

Ты же уже спрашивал. Не ставь туда IP и все.

А как в идеале здесь сделать? Хочу чтобы хост вообще не мог через бридж получать инет. А могла только виртуалка.

В идеале сделай SR-IOV, и тогда хост вообще не будет видеть эту сетевую карту.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

А блин. Работает, да, думал ошибка из за этого. А виртуалка из за space не запускалась. В итоге получается прям надо чтобы в файле etc/network/interfaces все было вписано как я и сделал? Идеально подходит под решение моей задачи и хост не сможет общаться с бриджом и получать инет от роутера никак?

Файл /etc/network/interfaces:

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet manual

auto bridge0

iface bridge0 inet manual

bridge_ports eth0

bridge_fd 0

Осталось вланы поднять и фаерволом траффик между ними запретить, это да. Но а так с первой задачей которую выше описал выходит на 100% справился?

marmeladka111
() автор топика
Ответ на: комментарий от Aceler

А не хочешь помочь мне настроить все это дело с SR-IOV? 10.000 оплачу, спишемся, поможешь настроить просто и напишешь что для чего делается, чтобы я смог самостоятельно настраивать потом, и я сделаю, и если что непонятно будет вопросы позадаю

Хочу поднять SR-IOV, VLANы и ограничить траффик между ними фаерволом

Напиши свой контакт куда написать, думаю много времени то не займет, оплачу достойно, работаю с чувствительной информацией, хочу поскорее разобраться без копания инфы из разных источников

marmeladka111
() автор топика

Какая проблема создать бридж в отдельном netns?
eth0 тоже туда вынести.
qemu запускать через ip netns exec

И не нужно мучаться с sv-iov...

VLANы в бридже тоже настраиваемые.

Пока очень трудно понять твои хотелки.

vel ★★★★★
()
Ответ на: комментарий от vel

Да у него уже всё работает. SR-IOV это для «по красоте», чтобы прямо точно-точно никто никуда не смог соединиться.

qemu запускать через ip netns exec

Он Qemu запускает через libvirt.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Ну вообще не знал про netns, отличное дополнение к безопасности, я думаю что стоит того чтобы через консоль запускать кему, к тому же это не так и сложно. Настройка и мониторинг SR-IOV гораздо сложнее и нужно больше плясать с бубном+не везде подходит под оборудование

marmeladka111
() автор топика