Intereting Posts
Настройка bash PS1 Является ли устаревшее блокирование конечных точек блокировки щенка 528 беспроводным подключением к Интернету и как его удалить? Есть ли способ перехватить межпроцессное взаимодействие в Unix / Linux? Каковы ваши лучшие практики и планы на будущее для развертывания операционных систем unixoid? найти с -exec eval $ 0 Почему этот скрипт работает на Ubuntu, а не на Debian? Sysrq продолжает снимать скриншоты Darktable 2.4.4 exiv2 0.2.6 lensfun проблемы Iptables GEOIP не работает при сжатии Debian Сохранить содержимое буфера обмена, когда программы из текста из скопированных выходов dpkg, apt, синаптический. aptitude: могут ли пользовательские настройки вызвать конфликты? Как отправить несколько команд в sftp одной строкой отрегулировать настройки zfs на freebsd 9 LXDE использует WinKey для открытия и закрытия главного меню (LXPANEL) Перемещение нескольких файлов из нескольких каталогов в исходный адрес

Настройки при использовании моста

У меня есть мост между моим физическим интерфейсом Ethernet, eth0 и виртуальным интерфейсом для OpenVPN, tap0 . Мост имеет IP-адрес, и с ним можно связаться по этому IP-адресу с любого интерфейса. Однако я не знаю, что настроить, чтобы получить трафик, проходящий через мост, между интерфейсами.

Является ли net.ipv4.ip_forward = 1 необходимым для установления моста, или это просто настройка, необходимая для маршрутизации?

Как настроить цепочку FORWARD в iptables ? В идеале нужно пересылать только трафик между интерфейсами, чтобы машина не могла использоваться как точка отката в сети.

Вам не нужно устанавливать ip_forward = 1 если интерфейс не действует как NAT для других устройств, что не должно быть, если вы установили их как мост.

пример

Вот моя настройка сервера KVM с мостовым устройством, br0 , с физическим устройством ethernet, eth0 + все интерфейсы для гостей KVM.

 $ brctl show bridge name bridge id STP enabled interfaces br0 8000.bcaec123c1e2 no eth0 vnet0 vnet1 vnet2 vnet3 vnet4 vnet5 virbr0 8000.52540003f256 yes virbr0-nic 

Так что случилось?

На основе вашего описания это звучит так, будто у вас нет правил маршрутизации для маршрутизации пакетов с одного интерфейса на другой.

Хост с мостом

 $ ip route show 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.200 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 169.254.0.0/16 dev br0 scope link metric 1008 default via 192.168.1.1 dev br0 

Хост с сетевым адаптером, который является членом моста

 $ ip route show 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.218 169.254.0.0/16 dev eth0 scope link metric 1002 default via 192.168.1.1 dev eth0 

Однако, скорее всего, вы tap0 с проблемой смешивания устройства tap0 и физического Ethernet-устройства eth0 в мосте.

Кранные устройства в мостах

Учитывая, что вы используете устройство TAP, tap0 вам, скорее всего, понадобится настроить брандмауэр, чтобы эти пакеты могли течь туда и обратно по мосту.

Теперь настройте брандмауэр Linux, чтобы позволить пакетам свободно перемещаться по вновь созданным интерфейсам tap0 и br0:

 $ sudo iptables -A INPUT -i tap0 -j ACCEPT $ sudo iptables -A INPUT -i br0 -j ACCEPT $ sudo iptables -A FORWARD -i br0 -j ACCEPT 

Рекомендации

  • Обзор мостов – OpenVPN Wiki
  • Мосты и маршрутизация – Часто задаваемые вопросы по OpenVPN