Задать вопрос
@torr2009
сетевое-администрирование

Запретить как роутинг через host и guest машины под управлением proxmox ve?

Как запретить роутинг через host и guest машины под управлением proxmox ve?

В ходе осмотра локальной сети выяснилось, что гипервизор proxmox по default`у пересылает пакеты во внешнюю сеть то есть работает шлюзом в локальной (через свой gateway).
Так же роутерами являются все виртуальные машины под линукс (как KVM, так и OpenVZ).
Как это корректно запретить? При том, что гипервизор Proxmox, должен иметь доступ к интернет и виртуальные машины должны иметь доступ к Интернет и к друг другу?
Такой же особенностью обладают, как выяснилось и VoIP-телефоны Dlink DPH-150S и без того известные своей "безопасностью".

Ниже приведены используемые настройки:

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.9     *               255.255.255.255 UH    0      0        0 venet0
192.168.1.0     *               255.255.255.0   U     0      0        0 vmbr0
default         192.168.1.57    0.0.0.0         UG    0      0        0 vmbr0


cat /etc/network/interfaces 
auto lo
iface lo inet loopback
auto vmbr0
iface vmbr0 inet static
        address 192.168.1.5
        netmask 255.255.255.0
        gateway 192.168.1.57
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
#       pre-up ifconfig eth0 mtu 9000


pveversion -v
proxmox-ve-2.6.32: 3.3-139 (running kernel: 2.6.32-34-pve)
pve-manager: 3.3-5 (running version: 3.3-5/bfebec03)
pve-kernel-2.6.32-20-pve: 2.6.32-100
pve-kernel-2.6.32-32-pve: 2.6.32-136
pve-kernel-2.6.32-19-pve: 2.6.32-96
pve-kernel-2.6.32-33-pve: 2.6.32-138
pve-kernel-2.6.32-22-pve: 2.6.32-107
pve-kernel-2.6.32-17-pve: 2.6.32-83
pve-kernel-2.6.32-34-pve: 2.6.32-139
pve-kernel-2.6.32-26-pve: 2.6.32-114
pve-kernel-2.6.32-11-pve: 2.6.32-66
pve-kernel-2.6.32-18-pve: 2.6.32-88
pve-kernel-2.6.32-23-pve: 2.6.32-109
lvm2: 2.02.98-pve4
clvm: 2.02.98-pve4
corosync-pve: 1.4.7-1
openais-pve: 1.1.4-3
libqb0: 0.11.1-2
redhat-cluster-pve: 3.2.0-2
resource-agents-pve: 3.9.2-4
fence-agents-pve: 4.0.10-1
pve-cluster: 3.0-15
qemu-server: 3.3-3
pve-firmware: 1.1-3
libpve-common-perl: 3.0-19
libpve-access-control: 3.0-15
libpve-storage-perl: 3.0-25
pve-libspice-server1: 0.12.4-3
vncterm: 1.1-8
vzctl: 4.0-1pve6
vzprocps: 2.0.11-2
vzquota: 3.1-2
pve-qemu-kvm: 2.1-10
ksm-control-daemon: 1.1-1
glusterfs-client: 3.5.2-1
  • Вопрос задан
  • 2774 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
gbg
@gbg Куратор тега Сетевое администрирование
Любые ответы на любые вопросы
На виртуальных машинах нужно отключить ip-forwarding. 
/etc/sysctl.conf:
net.ipv4.ip_forward = 0


Доступ к интернету организовать не маршрутизацией, а через прокси с фильтрацией и аутентификацией.
Ответ написан
Комментировать
Комментировать
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
sysctl -w net.ipv4.ip_forward=0
sysctl -w net.ipv6.conf.all.forwarding=0
echo "net.ipv4.ip_forward=0" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=0" >> /etc/sysctl.conf
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер
САТЕЛ Нижний Новгород
от 160 000 ₽
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Системный Администратор
DBI Ростов-на-Дону
от 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Верстка сайта и натяжка на wordpress
25 апр. 2024, в 19:22
18000 руб./за проект
Создать телеграмм бот на Python
25 апр. 2024, в 19:21
10000 руб./за проект
Разработка дизайна для мобильного приложения
25 апр. 2024, в 18:47
2795100 руб./за проект
Ещё заказы