IPTABLES blockiert den EoIP-Tunnel nicht

tag-icon tag-icon iptables vpn mikrotik tunnel routeros
IPTABLES blockiert den EoIP-Tunnel nicht

EoIP TunnelsAlso habe ich beschlossen , heute auf zwei VMs herumzuspielen , RouterOSauf denen ich eine kostenlose Testversion installiert habe.

iptablesIch habe auf dem Hypervisor (das ist ) Regeln festgelegt Proxmox, die jegliche Eingabe an VMs außer meinem PC verhindern, aber meine OUTPUTRichtlinie ist ACCEPT.

Jetzt kann ich pingvon nirgendwo anders als von meinem PC auf VMs zugreifen und ich kann pingmeine beiden VMs ( RouterOS) nicht voneinander trennen, aber EoIP Tunneles funktioniert einwandfrei und ich leite Pakete von einer RouterOSzur anderen weiter.

iptablesKonfiguration auf beiden VMs:

IN ACCEPT -source a.b.c.d
IN DROP

(abcd ist die IP meines PCs)

Was mache ich falsch?

RouterOSs-Konfiguration:

VM1:

/ip address
#   ADDRESS            NETWORK         INTERFACE                              
0   r.o.s.1/32         m.a.i.n         ether1                                 
1   172.22.22.1/30     172.22.22.0     eoiptunnel

/ip route
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          172.22.22.2               1
1 ADC  m.a.i.n/32         r.o.s.1         ether1                    0
2 ADC  172.22.22.0/30     172.22.22.1     eoiptunnel                0

VM2:

/ip address
#   ADDRESS            NETWORK         INTERFACE                              
0   r.o.s.2/32         m.a.i.n         ether1                                 
1   172.22.22.2/30     172.22.22.0     eoiptunnel

IP-Adressen:

r.o.s.1 : Router OS 1
r.o.s.2 : Router OS 2
m.a.i.n : Main Server IP

Ich überwache den Datenverkehr auf meinem Hostserver iptrafund habe beobachtet, RouterOSdass sich zwei VMs über eine andere Schnittstelle sehen. Tatsächlich ist mir klar, dass für jede VM proxmoxvier Schnittstellen erstellt werden. Daher gehe ich davon aus, dass „einige“ Pakete zwischen zwei VMs, die sich auf derselben Brücke befinden, über eine andere Schnittstelle laufen.

Ich muss die Dokumentation zu den mehreren Schnittstellen lesen, die proxmoxbeim Erstellen jeder VM erstellt werden.

Antwort1

Man könnte argumentieren, dass Sie nichts falsch machen.

Ihre iptablesRegeln blockieren den Datenverkehr in Ihre Proxmox-Umgebung und Ihre beiden Gäste kommunizieren über die interne Brücke miteinander.

Die iptablesRegeln betreffen nicht den Brückenverkehr zwischen VMs, und das ist so gewollt. (Wenn Sie den Verkehr von einer VM zur anderen über Ihren Host leiten oder versuchen würden, zwischen einer VM und dem Host einen Ping zu senden, iptableswürden die Regeln gelten.)

verwandte Informationen