ブリッジ使用時の設定

ブリッジ使用時の設定

eth0物理イーサネットインターフェイスとOpenVPN仮想インターフェイスの間にブリッジを設定しましたtap0。ブリッジにはIPアドレスがあり、どのインターフェイスからもそのIPアドレスでシステムに接続できます。ただし、インターフェイス間のブリッジでトラフィックが流れるように設定する方法がわかりません。

ブリッジングを設定する必要がありますかnet.ipv4.ip_forward = 1、またはルーティングを設定する必要がありますか?

FORWARDチェーンをどのように構成する必要がありますかiptables?理想的には、コンピュータがネットワーク内の終点として使用できないように、インターフェイス間のトラフィックのみを転送する必要があります。

答え1

インターフェイスが他のデバイスのNATとして機能しない限り、これを設定する必要はありませんip_forward = 1。ブリッジに設定した場合はそうではありません。

はい

これは、ブリッジデバイス、br0物理イーサネットデバイス、eth0およびKVMゲスト用のすべてのインターフェイスを備えたMy KVMサーバー設定です。

$ brctl show
bridge name bridge id       STP enabled interfaces
br0     8000.bcaec123c1e2   no      eth0
                            vnet0
                            vnet1
                            vnet2
                            vnet3
                            vnet4
                            vnet5
virbr0      8000.52540003f256   yes     virbr0-nic

それでは何が間違っていますか?

説明によると、あるインターフェイスから別のインターフェイスにパケットをルーティングするルーティングルールがないようです。

ホストとブリッジ
$ ip route show
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.200 
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1 
169.254.0.0/16 dev br0  scope link  metric 1008 
default via 192.168.1.1 dev br0 
ブリッジのメンバーであるNICを持つホスト
$ ip route show
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.218 
169.254.0.0/16 dev eth0  scope link  metric 1002 
default via 192.168.1.1 dev eth0 

tap0ただし、デバイスと物理イーサネットデバイスをeth0ブリッジに混在させるのに問題が発生する可能性があります。

橋のタップ装置

TAP デバイスを使用する場合、tap0これらのパケットがブリッジから前後に流れるようにファイアウォールを設定する必要がある場合があります。

これで、新しく作成された tap0 および br0 インターフェイスからパケットが自由に流れるように Linux ファイアウォールを設定します。

$ sudo iptables -A INPUT -i tap0 -j ACCEPT
$ sudo iptables -A INPUT -i br0 -j ACCEPT
$ sudo iptables -A FORWARD -i br0 -j ACCEPT

引用する

関連情報