Добрый день! Сервер в ДЦ, установлен proxmox 3.4 и имеется несколько виртуалок (преимущественно centos). Сетевые (физическая и виртуальные) объединены в мост vmbr0. У каждой виртуалки отдельный белый адрес.

Периодически начинает валить паразитный трафик, где ни источник, ни назначение не соответствуют моим адресам:

15:52:09.629073 IP 79.137.180.117.40184 > 181.94.254.233.sns-channels: Flags [S], seq 2409631935, win 1024, length 0
15:52:09.629074 IP 79.137.180.117.40184 > 181.97.194.241.sns-channels: Flags [S], seq 2555911629, win 1024, length 0
15:52:09.629075 IP 79.137.180.117.40184 > 181.118.232.153.csms2: Flags [S], seq 2528343571, win 1024, length 0

Насколько я понимаю, первым делом трафик попадает в -t raw PREROUTING Пробую дропать: iptables -t raw -A PREROUTING -s 79.137.180.117 -d 0.0.0.0/0 -j DROP

но трафик по прежнему видно в tcpdump -n и на гипервизоре, и на виртуалках.

Видимо, он «зеркалируется» на виртуалки ДО того, как поступает в iptables?

Как правильно избавится от паразитного трафика?

Машина - hp blade, двухпроцессорная. Если важно, выложу полный конфиг. Скрин kp: http://image.prntscr.com/image/072f1e16b52e4e4889356fd31c7369c7.jpeg proxmox 3.4-14

Установка, настройка, сопровождение, специализированный надежный хостинг, доработки, разработки, интерфейсы, интеграции с crm и не только. Большой опыт. Цены после тз. Чем точнее тз - тем уже вилка :) info@vmclouds.ru 79002953844 г. Краснодар Александр.

Добрый! Имеем: машину с proxmox в ДЦ, кучку виртуалок на ней. Проблема - особенность ДЦ такова, что на интерфейс ноды падает очень много левого траффика, паразитного.

Все это дело дублируется на софтовых сетевках виртуалок и напрягает.

Вывод: через iptables запретить все INPUT кроме как те, где dst - мои ip-адреса (ноды и виртуалок)

Накидал: iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -I INPUT -d myip1 -j ACCEPT

iptables -I INPUT -d myip2 -j ACCEPT

...

iptables -I INPUT -d myipN -j ACCEPT

iptables -P INPUT DROP

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

Скажите - я прав? Неохота перед выхами потерять ноду :)

Приветствую! Задача по работе - выдать нескольким партнерам постоянную статику (провайдер не умеет). Вижу решение: купить vds (kvm, на openvz плавает нода при миграции, теряется). Заказать несколько адресов (будут вида eth0:1, eth0:2 видимо) и выдавать впн-сервером xl2tpd эти адреса клиентам, являясь основным шлюзом для них. Вопрос: как это сделать?) xl2tpd ставил, по мануалам, раздавал внутренние адреса. операционка centos 6.5.