Emiliano Gabrielli (aka AlberT) ha scritto:
On venerdì 19 ottobre 2007, Gelpi Andrea wrote:
. . .
Guarda, io ho abbandonato l'uso di configurazioni bridged in XEN proprio
perché portano a più problemi di quanti siano i vantaggi che offrono...
Ti consiglio una configurazione routed in cui le domU comunicano sulla rete
virtuale tra lo ro e con la dom0, nessun cavo cross (ne diretto) visto che in
questa configurazione tutto il traffico fisico lo fa solo ed unicamente la
dom0 ... il tutto si semplifica enormemente, il firewolling lo puoi gestire
in modo centralizzato in dom0 (cfr: il wiki di shorewall per un esempio di
configurazione di questo tipo)
Questo vuol dire rifare completamente 3 sistemi oggi in produzione,
visto che il firewall è in domU e il server di lan di dom0.
Inoltre non mi piace l'idea di avere il firewall come dom0 per ovvi
motivi di sicurezza.
Ho verificato che il problema è legato a debian sarge e xen 3.0.0.
Infatti ho messo su un sistema con etch e xen 3.0.3 (quello incluso in
debian) e ho costruito una configurazione simile e ssh funziona benone.
Purtroppo a causa del controller scsi (3ware 76002) che uso in
produzione non riesco ad usare altre versioni di xen.
Ho provato la 3.0.4 e 3.1.0 tutte vanno in kernel panic per device di
boot non trovato. La 3.10 l'ho pure ricompilata partendo dai sorgenti,
ma niente da fare.
L'unica che fa boot è la 3.0.2, ma non vede le schede di rete in modo
corretto. eth0 resta down e eth1 non la vede proprio.
PEr quanto riguarda l'accesso alle risorse HW da parte di una macchina
virtuale, sei sicuro di non riuscire a far accedere una domU all'HW? non l'ho
mai utilizzata questa feature ma mi pare sia possibile... in tal caso la conf
migliore IMHO è lasciare al dom0 la sola incombenza del FWing e far tutto il
resto nelle varie domU...
Per quanto riguarda la tua conf attuale il problema potrebbe essere di arp
proxy ... prova a controllare /proc/sys/net/ipv4/conf/XXXXXX/proxy_arp
dove XXXXX è il nome della tua interfaccia virtuale
Le interfacce virtuali non ci sono dove hai segnalato. Lì ci sono solo
quelle definite in /etc/network/interfaces
Già che ci sono, dove si trovano le varie interfacce virtuali che xen
mette su a colpi di comandi ip?
--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
