2011/10/23 sd <[email protected]>
> Poti sa reconfigurezi virbr0 sa nu mai faca nat.
> Treci in mod "bridging'.
> Libvirt are support sa adaugi reguli de iptables. Vezi in
> /etc/libvirt.
>
poti sa fi putin mai specific? ca nu am gasit cum sa adaug reguli de
iptables. Si sa fac ca libvirt sa faca append in loc de insert e un 'win'.
problema mea nu e nat-ul, problema e ca regulile default care libvirt/some
script le pune in firewall tin cont doar de ce e in default.xml:
<network>
<name>default</name>
<uuid>c5ca9f7e-96de-404e-8271-db7c46772478</uuid>
<forward mode='routed'/>
<bridge name='virbr0' stp='on' delay='0' />
<mac address='52:54:00:5E:24:4F'/>
<ip address='192.168.122.1' netmask='255.255.255.0'>
<dhcp>
<range start='192.168.122.2' end='192.168.122.254' />
</dhcp>
</ip>
</network>
cum adaug aici ip-uri care sunt doar routate prin virbr0 si ar trebui sa
existe doar ca sa apara dupa in iptables?
Daca as avea un /29 ar fi extrem de simplu, l-as pune pe ala, fara dhcp
direct cu ip address= dar am 4x /32-uri (sau un /30) dar
nu imi pot permite sa pun ip public pe bridge.
Pot sa fac o chestie urita, sa zic ca am /29 si sa nu-mi pese ca nu am
defapt /29 alocat, dar am zis sa caut totusi o solutie.
>
> Network e configurat in qemu/network/default.xml si vine cu nat. Cred
> ca poti sa folosesti virt-manager sa reconfigurezi reteaua.
>
> s
>
> On 10/23/11, Catalin Muresan <[email protected]> wrote:
> > Salut,
> >
> > am o problema cu o masina centos6 cu 3 vm-uri: avind doar 4 adrese ip
> > disponibile (/30), fiecare routata /32 prin main IP (IP-M) am routat la
> > rindul meu cele 4 adrese ip ca un /30 prin virbr0. Merge, dar problema e
> ca
> > dupa un reboot nu mai merge. Dece:
> >
> > - libvirt adauga reguli in iptables FORWARD de genul:
> > pkts bytes target prot opt in out source
> > destination
> > 0 0 ACCEPT all -- eth0 virbr0 0.0.0.0/0
> > 192.168.123.0/24
> > 0 0 ACCEPT all -- virbr0 eth0 192.168.123.0/24
> > 0.0.0.0/0
> > 0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0
> > 0.0.0.0/0
> > 0 0 REJECT all -- * virbr0 0.0.0.0/0
> > 0.0.0.0/0 reject-with icmp-port-unreachable
> > 0 0 REJECT all -- virbr0 * 0.0.0.0/0
> > 0.0.0.0/0 reject-with icmp-port-unreachable
> >
> > care permit doar IP-urile private sa faca trafic.
> > - virbr0 porneste cumva dupa rc.local (nu stiu dece) si o comanda "ip
> route
> > add <net> dev virbr0" da fail cu no such interface.
> > - /etc/sysconfig/network-scripts/route-virbr0 nu se "ridica"
> > - virt-manager nu vrea sa puna /30 pe virbr0 (e prea destept)
> > - daca pun regula in firewall, iptables-save, libvirtd incarca regulile
> de
> > mai sus _inainte_ de ce pun eu ( cu -I ) si bineinteles ca nu merge
> >
> > ca sa mearga trebuie sa:
> > - pun o regula de allow in firewall
> > - pun maual routa catre virbr0
> >
> > Intrebarea e:
> >
> > cum adaug ip-urile publice ca sa fie incluse in firewall si preferabil si
> > routate pe virbr0 ?
> >
> > * http://libvirt.org/formatnetwork.html - nu e clar in cazul meu
> > * nu pot sa fac 1:1 IP NAT din motive de software care ruleaza pe VM si
> care
> > vrea sa vada ip-ul real.
> > _______________________________________________
> > RLUG mailing list
> > [email protected]
> > http://lists.lug.ro/mailman/listinfo/rlug
> >
> _______________________________________________
> RLUG mailing list
> [email protected]
> http://lists.lug.ro/mailman/listinfo/rlug
>
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
