eth0
物理イーサネットインターフェイスとOpenVPN仮想インターフェイスの間にブリッジを設定しましたtap0
。ブリッジにはIPアドレスがあり、どのインターフェイスからもそのIPアドレスでシステムに接続できます。ただし、インターフェイス間のブリッジでトラフィックが流れるように設定する方法がわかりません。
ブリッジングを設定する必要がありますかnet.ipv4.ip_forward = 1
、またはルーティングを設定する必要がありますか?
FORWARD
チェーンをどのように構成する必要がありますかiptables
?理想的には、コンピュータがネットワーク内の終点として使用できないように、インターフェイス間のトラフィックのみを転送する必要があります。
答え1
インターフェイスが他のデバイスのNATとして機能しない限り、これを設定する必要はありませんip_forward = 1
。ブリッジに設定した場合はそうではありません。
はい
これは、ブリッジデバイス、br0
物理イーサネットデバイス、eth0
およびKVMゲスト用のすべてのインターフェイスを備えたMy KVMサーバー設定です。
$ brctl show
bridge name bridge id STP enabled interfaces
br0 8000.bcaec123c1e2 no eth0
vnet0
vnet1
vnet2
vnet3
vnet4
vnet5
virbr0 8000.52540003f256 yes virbr0-nic
それでは何が間違っていますか?
説明によると、あるインターフェイスから別のインターフェイスにパケットをルーティングするルーティングルールがないようです。
ホストとブリッジ$ ip route show
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.200
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1
169.254.0.0/16 dev br0 scope link metric 1008
default via 192.168.1.1 dev br0
ブリッジのメンバーであるNICを持つホスト
$ ip route show
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.218
169.254.0.0/16 dev eth0 scope link metric 1002
default via 192.168.1.1 dev eth0
tap0
ただし、デバイスと物理イーサネットデバイスをeth0
ブリッジに混在させるのに問題が発生する可能性があります。
橋のタップ装置
TAP デバイスを使用する場合、tap0
これらのパケットがブリッジから前後に流れるようにファイアウォールを設定する必要がある場合があります。
これで、新しく作成された tap0 および br0 インターフェイスからパケットが自由に流れるように Linux ファイアウォールを設定します。
$ sudo iptables -A INPUT -i tap0 -j ACCEPT
$ sudo iptables -A INPUT -i br0 -j ACCEPT
$ sudo iptables -A FORWARD -i br0 -j ACCEPT