実際にパケットをルーティングできるLinux仮想インターフェイス

実際にパケットをルーティングできるLinux仮想インターフェイス

インターネットに接続された実際のインターフェースを持つLinuxボックスがあります。 eth0 192.168.1.108

[eth0]を介してトラフィックをルーティングしますが、一部のアクセス制御リストによっては、異なるIPアドレス[10.10.0.1]を表示する仮想インターフェイスを作成する必要があります。

アクセス制御には、IPアドレス10.10.0.1を使用して新しい仮想デバイスを作成する必要があります。

仮想デバイスを作成しました。

ip link add name acl0 type dummy
ip addr add 10.10.0.1
ip link set dev acl0 up

これによりインターフェイスが作成されますが、実際にトラフィックをルーティングすることはありません。

実際にトラフィックをルーティングするために特定のIPアドレスを使用する仮想デバイスをどのように作成しますか?

答え1

質問を編集し、2番目のIPが必要な理由とアクセス目的でそれをどのように使用するかについての詳細を提供してください。

一つ相互作用「トラフィックルーティング」ではありません。カーネルはトラフィックをルーティングします。

  1. 仮想インターフェイスの唯一の利点は、アプリケーションがバインドできるように機能しないIPのプレースホルダとして機能することです。多くの人がそれが特定の方法で動作すると思う間違いを犯しますが、実際にはそうではありません。

  2. 同じインターフェイスに複数のIPアドレスを割り当てることができますが、すべてのアプリケーションが製本そうでなければ、ランダムな効果をデバッグするのは楽しいでしょう。

  3. 必要な「アクセス制御」の種類に応じて、さまざまなアプリケーションに対してネットワークを分離する簡単な方法は、次のものを使用することです。ネットワークネームスペース。 「特殊」アプリケーションをネットワーク名前空間に配置すると、そのアプリケーションがネットワークごとに異なるコンピュータで実行されている場合に機能するため、異なる設定を指定できます。

aを使用して他のIPアドレスと同じインターフェイスを使用するmacvlaneth0(またはDHCPを使用してIPを提供する)、新しいネームスペースとデフォルトのネットワークネームスペースの間にveth-pairを作成し、通常のルーティングを実行します。

関連情報