Score:0

ปัญหาไฟร์วอลล์ / กฎ Ip ระหว่างสองโฮสต์ผ่าน vSwitch

ธง cn

ฉันมีเซิร์ฟเวอร์สองเครื่องที่เล่นที่นี่ เซิร์ฟเวอร์หนึ่งเป็นโฮสต์ Qemu VM และอีกเซิร์ฟเวอร์หนึ่งเป็นกล่องเก็บข้อมูลประเภทต่างๆ

พวกมันเป็นเครื่องเฮทซ์เนอร์ และฉันเชื่อมต่อผ่าน vSwitch

อินเตอร์เฟส Server1 vSwitch:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP กลุ่มเริ่มต้น qlen 1000
    ลิงค์/อีเธอร์ 10:7b:44:b1:5b:7d brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.1/24 brd 192.168.100.255 ขอบเขต global local
       valid_lft ตลอดไป reserved_lft ตลอดไป

เส้นทาง IP ของเซิร์ฟเวอร์ 1 (โฮสต์ VM):

ค่าเริ่มต้นผ่าน <redacted-public-ip> dev eth0 proto static metric 100 
<redacted-public-ip> dev eth0 proto static scope link metric metric 100 
192.168.10.0/24 dev virbr0 โปรโตเคอร์เนลขอบเขตลิงก์ src 192.168.10.254 เมตริก 425 <-- เครือข่าย virbr0
192.168.10.253 ผ่าน 192.168.100.2 dev local <-- srv02 IP เพื่อให้พอดีกับพื้นที่สุทธิ virbr0

อินเตอร์เฟส Server2 vSwitch:

3: local@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue state UP กลุ่มเริ่มต้น qlen 1000
    ลิงค์/อีเธอร์ 08:60:6e:44:d6:2a brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.2/24 brd 192.168.100.255 ขอบเขต global local
       valid_lft ตลอดไป reserved_lft ตลอดไป
    inet 192.168.10.253/24 brd 192.168.10.255 ขอบเขต global local
       valid_lft ตลอดไป reserved_lft ตลอดไป

เส้นทาง IP ของเซิร์ฟเวอร์ 2:

ค่าเริ่มต้นผ่าน <redacted-public-ip> dev eth0 proto static metric 100 
<redacted-public-ip> dev eth0 proto static scope link metric metric 100 
192.168.10.0/24 ลิงค์ขอบเขตโปรโตเคอร์เนลท้องถิ่น src 192.168.10.253 <-- เพื่อเข้าถึง virbr0 ผ่าน vSwitch

ฉันตั้งค่าเส้นทางถูกต้องแล้ว ฉันเดาว่า - เนื่องจากทุกอย่างใช้งานได้ดีเมื่อปิดบริการไฟร์วอลล์

แต่ถ้าฉันเปิดใช้งาน ปัญหาก็เริ่มต้นขึ้น

นี่คือโซนไฟร์วอลล์บน Server1 (ซึ่งเมื่อฉันปิดใช้งานไฟร์วอลล์ทุกอย่างจะทำงานได้)

libvirt (ใช้งานอยู่)
  เป้าหมาย: ยอมรับ
  icmp-block-inversion: ไม่
  อินเทอร์เฟซ: virbr0
  แหล่งที่มา: 
  บริการ: dhcp dhcpv6 dns ssh tftp
  พอร์ต: 
  โปรโตคอล: icmp ipv6-icmp
  ไปข้างหน้า: ไม่
  สวมหน้ากาก: ไม่
  พอร์ตไปข้างหน้า: 
  พอร์ตต้นทาง: 
  icmp บล็อก: 
  กฎมากมาย: 
    ลำดับความสำคัญของกฎ = "32767" ปฏิเสธ


สาธารณะ (ใช้งานอยู่)
  เป้าหมาย: ค่าเริ่มต้น
  icmp-block-inversion: ไม่
  อินเทอร์เฟซ: eth0 ท้องถิ่น
  แหล่งที่มา: 
  บริการ: ห้องนักบิน dhcpv6-client ssh
  พอร์ต: 
  โปรโตคอล: 
  ไปข้างหน้า: ไม่
  สวมหน้ากาก: ไม่
  พอร์ตไปข้างหน้า: 
  พอร์ตต้นทาง: 
  icmp บล็อก: 
  กฎมากมาย: 

ฉันได้ลองเปิดใช้งานการสวมหน้ากากในแต่ละครั้ง ทั้งสองอย่างพร้อมกัน แต่ก็ไม่เป็นผล ฉันกำลัง "ทดสอบ" สิ่งนี้ด้วยการ ping อย่างง่ายจาก Server2 ไปยังหนึ่งใน VM บน virbr0

มีอะไรที่ชัดเจนว่าฉันหายไปที่นี่หรือไม่?

ขอขอบคุณทุกท่านล่วงหน้า

Score:0
ธง cn

ฉันสามารถแก้ไขปัญหานี้ได้โดยใช้กฎสองข้อต่อไปนี้บนโฮสต์ QEMU

firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -o local -i virbr0 -j ACCEPT

ไฟร์วอลล์ cmd -- ถาวร -- โดยตรง -- เพิ่มกฎตัวกรอง ipv4 ส่งต่อ 0 -o virbr0 -i ท้องถิ่น -j ยอมรับ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา