hi, Am 04.07.10 13:13, schrieb Christian Felsing:
> 1. Gibt es einen speziellen Grund, warum Du das routest und nicht über
> eine Bridge der Dom0 machst ?
ja, weil die Hetzner Switche keine fremden MAC Adressen an dem Port dulden.
> 2. Mache mal ein ip -6 route list auf Dom0 und DomU
Dom0:
ip -6 route list dev eth0
2a01:4f8:120:8480::1 metric 1024 mtu 1500 advmss 1440 hoplimit 4294967295
2a01:4f8:120:8481::/64 metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
fe80::/64 metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
default via 2a01:4f8:120:8480::1 metric 1024 mtu 1500 advmss 1440
hoplimit 4294967295
ip -6 route list dev xenintbr
2a01:4f8:120:8481::3 metric 1024 mtu 1500 advmss 1440 hoplimit 4294967295
fe80::/64 metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
DomU:
ip -6 route list dev eth0
2a01:4f8:120:8480::3 metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
fe80::/64 metric 256 mtu 1500 advmss 1440 hoplimit 4294967295
> 3. Bei meinen VM Installationen lasse ich einen ripd/ripngd laufen, der
> auf dem Host eine Defaultroute distributed und die Guests lernen die
> Default route dann vom Host. In einfachen Fällen reicht auch ein radvd.
> Das klappt sogar mit Windows Guests.
RADVD würde ich in dem Fall nicht verwenden. Weiß aber noch nicht so
warum. Fest definierte IPs sind mir dann da doch noch lieber. Ist
immerhin ein Rootserver
> 4. Was sagt ip6tables -nvL und iptables -nvL ?
dom0:
ip6tables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
DomU:
triela:~# ip6tables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all * * ::/0 ::/0
rt type:0
12565 1078K ACCEPT all lo * ::/0 ::/0
479K 46M ACCEPT all * * fe80::/10 ::/0
0 0 ACCEPT all * * ff00::/8 ::/0
6200 891K ACCEPT icmpv6 * * ::/0
::/0
54185 16M ACCEPT all * * ::/0 ::/0
state RELATED,ESTABLISHED
6821 545K ACCEPT tcp * * ::/0 ::/0
multiport dports 22,80,21,443
0 0 LOGDROP all eth1 * ::/0 ::/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all * * ::/0 ::/0
rt type:0
0 0 ACCEPT icmpv6 * * ::/0
::/0
0 0 ACCEPT all * * ::/0 ::/0
state RELATED,ESTABLISHED
0 0 LOGDROP all eth1 * ::/0 ::/0
Chain OUTPUT (policy ACCEPT 55781 packets, 42M bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all * * ::/0 ::/0
rt type:0
12565 1078K ACCEPT all * lo ::/0 ::/0
150 10328 ACCEPT all * * fe80::/10 ::/0
0 0 ACCEPT all * * ff00::/8 ::/0
6888 518K ACCEPT icmpv6 * * ::/0
::/0
Chain LOGDROP (2 references)
pkts bytes target prot opt in out source
destination
0 0 LOG all * * ::/0 ::/0
limit: avg 5/min burst 5 LOG flags 0 level 4 prefix `INPUT:'
0 0 DROP all * * ::/0 ::/0
Für IPv4 ... da habe ich eine Menge Regeln. Die würde ich nur ungern posten.
Bei der DomU ist nur fail2ban aktiv, der Rest ist ACCEPPT
> Ich kann Dir zwar in Sachen IPv6 Routing helfen, allerdings benutze ich
> Xen schon lange nicht mehr und weiss daher auch nicht was Xen da noch
> für Schweinereien bereit hält. An net.ipv6.conf.all.forwarding hast Du
> ja schon gedacht, was ist mit
Ja, schwierig ist das schon. Nur mich stört am meisten, dass ich Ping
Request nicht sehe, an/in der Dom0. Ich fürchte, dass ::3 erst am
Hetzner Switch sich bekannt geben muss, bevor der die Pakete da an ihn
sendet, nach dem Motto: "Hallo Switch, mich gibt es jetzt" ...
cu denny
signature.asc
Description: OpenPGP digital signature
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
