El día 13 de septiembre de 2013 10:52, C. L. Martinez <[email protected]> escribió: > 2013/9/13 Maykel Franco <[email protected]>: >> El día 13 de septiembre de 2013 10:31, C. L. Martinez >> <[email protected]> escribió: >>> 2013/9/13 Maykel Franco <[email protected]>: >>>>>>>>> Lo que tienes que hacer es apagar la máquina virtual y volver a >>>>>>>>> encenderla. Aunque la reinicies no se entera de los cambios de >>>>>>>>> hardware >>>>>>>>> mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo. >>>>> >>>>>>>> >>>>>>>> Gracias por contestar. Te ha pasado a ti tambien? Claro yo la >>>>>>>> reiniciaba en >>>>>>>> vez de apagarla e imagino que no se estaban aplicando los cambios. >>>>>>>> >>>>>>>> Veo ilogico tener que reiniciar lla maquina anfriona, y si tienes 3 >>>>>>>> firewalls corriendo en produccion.... >>>>>>>> >>>>>>> >>>>>>> Pues si son fws, con más motivo debes reiniciarlos. Yo también tengo >>>>>>> un pool de fws virtualizados en producción pero bajo ESXi, y aunque la >>>>>>> plataforma permite hacerlo "en caliente" te encuentras con que los fws >>>>>>> empiezan a denegar paquetes por spoofing ... Yo no diría que es un bug >>>>>>> del proxmox ... >>>>>> >>>>>> Reiniciarlos o apagarlos, más bien apagarlos no? porque reiniciando se >>>>>> la chuflaba,seguía con la config anterior como han comentado. >>>>> >>>>> En ESXi con reiniciarlos es suficiente ... Igual que con KVM bajo >>>>> RHEL/CentOS ... >>>>> >>>>>> >>>>>> Me habían hablado bien de esxi cuando me dijeron lo de que podrías >>>>>> cambiar las interfaces de las VM en caliente me pareció una opción >>>>>> increíble y potente la verdad...Tienes algún enlace donde corrobore la >>>>>> denegación de paquetes spoofing o es que te ha pasado a tí realmente? >>>>> >>>>> ¿Sabes lo que es spoofing?? Lo digo por lo de corroborar ... Es un >>>>> concepto de fw bastante habitual ... Es más, tus pfsense te habrán >>>>> puesto algunas reglas tal que así: >>>> >>>> Sé lo que es spoofing, desde hace unos cuantos años la verdad. Lo de >>>> corroborar me refiero al esxi que efectivamente se produce la >>>> denegación de paquetes by spoofing si lo cambias en caliente xDD. A lo >>>> mejor me he explicado mal. >>>> >>> >>> No, no te has explicado mal ... Pero no veo que tengas claro lo que >>> son las reglas de anti-spoofing. En ESXi, como en cualquier hypervisor >>> y máquina física, sea KVM, Xen, etc .. en cuanto hagas un cambio de >>> interfaz "en caliente", un fw por definición va a empezar a denegar >>> paquetes por sus reglas de anti-spoofing, excepto si has cometido la >>> locura de desactivarlas ... Es decir, es lo mismo que si cambias el >>> latiguillo en una máquina física. >>> >>> Saludos. >> >> Muchas gracias. Me queda más claro lo que es. >> >> Ningún paquete de mi red interna puede llegar con una ip de mi red por >> la interfaz conectada a internet. >> >> Corrígeme si me equivoco, estamos para aprender. >> > > Cierto, a medias y dependiendo de la cantidad de interfaces que tengas > asociadas en el fw. Si dispones únicamente de dos, es correcto, pero > si dispones de más, debes tener una regla de antis-poofing para cada > una de ellas. Por ejemplo: si tienes una interfaz adicional de DMZ, > esa interfaz debe tener una regla por la cual los paquetes van y > vienen a las IPs de DMZ deben venir por esa interfaz. Y en la interfaz > pública, debería s tener una regla que denegase todos los > direccionamientos internos, en caso de que dicha interfaz tenga > direccionamiento privado. Si tiene direccionamiento público, debería > denegar cualquier IP de rango privado, todo el espectro.
Gracias por la explicacion, se agradece de verdad. > > Por eso, cuando trabajas con entornos de virtualización y fws y hagas > cambios de interfaz en dichos fws, basta con reiniciarlos. Como te he > comentado con KVM (bajo RHEL/CentOS) e ESXi, no hay problema en > realizar esa operación, pero si Proxmox no lo hace, es un bug. Pero > según ellos, lo hace: > > http://pve.proxmox.com/wiki/Manual:_vm.conf Pues te aseguro que no lo hace, no sé si será por ser freebsd...No lo sé, cierto es que si no apagas la VM y sólo la reinicias, no se aplica el cambio de interfaz vmbr que compartes a la VM desde la anfitriona. En esta lista se aprende un montón, me encanta. Por cierto, personalmente me gusta bastante más proxmox que esxi, pero es una opinión personal. Nuevamente, gracias. > > Saludos. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/caj2aoa9c+kl9vn_8xvyjsqsvymrhl3nrcg03y5zqmaxxmxe...@mail.gmail.com
