Einstellungen bei Verwendung einer Brücke

7

Ich habe eine Brücke zwischen meiner physischen Ethernet-Schnittstelle eth0und der virtuellen Schnittstelle für OpenVPN eingerichtet tap0. Die Bridge hat eine IP-Adresse, und das Gerät kann über diese IP-Adresse von beiden Schnittstellen aus kontaktiert werden. Ich weiß jedoch nicht, was ich konfigurieren soll, damit der Datenverkehr zwischen den Schnittstellen über die Brücke fließt.

Ist net.ipv4.ip_forward = 1eine Einstellung für das Bridging erforderlich oder ist es nur eine Einstellung für das Routing?

Wie soll ich die FORWARDKette konfigurieren iptables? Im Idealfall sollte nur Datenverkehr zwischen den Schnittstellen weitergeleitet werden, damit der Computer nicht als Bounce-Punkt innerhalb des Netzwerks verwendet werden kann.

iptables openvpn bridge Xenopathisch
quelle

Antworten:

7

Sie sollten das nicht festlegen müssen, es ip_forward = 1sei denn, die Schnittstelle fungiert als NAT für die anderen Geräte. Dies sollte nicht der Fall sein, wenn Sie sie als Bridge eingerichtet haben.

Beispiel

Hier ist mein KVM-Server-Setup, das ein Bridge-Gerät br0mit dem physischen Ethernet-Gerät und eth0alle Schnittstellen für die KVM-Gäste enthält.

$ brctl show
bridge name bridge id       STP enabled interfaces
br0     8000.bcaec123c1e2   no      eth0
                            vnet0
                            vnet1
                            vnet2
                            vnet3
                            vnet4
                            vnet5
virbr0      8000.52540003f256   yes     virbr0-nic

Also, was ist falsch?

Basierend auf Ihrer Beschreibung klingt es so, als hätten Sie keine Routing-Regeln, um die Pakete von einer Schnittstelle zur anderen zu leiten.

Host mit der Brücke 
$ ip route show
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.200 
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1 
169.254.0.0/16 dev br0  scope link  metric 1008 
default via 192.168.1.1 dev br0
Host mit Netzwerkkarte, die Mitglied von Bridge ist 
$ ip route show
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.218 
169.254.0.0/16 dev eth0  scope link  metric 1002 
default via 192.168.1.1 dev eth0

Es ist jedoch wahrscheinlich, dass Sie Probleme haben, das tap0Gerät und das physische Ethernet-Gerät eth0in eine Bridge zu mischen .

Tippen Sie auf Geräte in Brücken

Wenn Sie ein TAP-Gerät verwenden, müssen tap0Sie wahrscheinlich Ihre Firewall so konfigurieren, dass diese Pakete über die Bridge hin und her fließen können.

Richten Sie nun die Linux-Firewall so ein, dass Pakete frei über die neu erstellten tap0- und br0-Schnittstellen fließen können:

$ sudo iptables -A INPUT -i tap0 -j ACCEPT
$ sudo iptables -A INPUT -i br0 -j ACCEPT
$ sudo iptables -A FORWARD -i br0 -j ACCEPT

Verweise

slm
quelle
@sim Super Vielen Dank für diese Antwort. Ich habe die oben genannten iptables (1M) -Befehle verwendet und tap0 durch eth0 ersetzt. Dadurch wurde mein tagelanges Problem behoben. Ich habe das Problem und die Lösung hier gepostet und Ihre Antwort gutgeschrieben : ask.fedoraproject.org/en/question/108894/… :)
NYCeyes