%20direcciones%20IP%20en%20hosts%20de%20virtualizaci%C3%B3n%20basados%20%E2%80%8B%E2%80%8Ben%20KVM%2FProxmox%3F.png)
Supongamos la siguiente configuración: un enrutador que anuncia subredes IP y algunos hosts KVM basados en Proxmox. Cada host de virtualización basado en Proxmox ejecuta múltiples servidores virtuales administrados por los clientes y a cada servidor virtual se le asigna una o varias IP.
¿Cómo puedo evitar que un servidor virtual (mal configurado o maligno) anuncie IP que no pertenecen a su servidor?
La mejor idea que se me ocurre es utilizar iptablesreglas de firewall para bloquear cualquier tráfico excepto el entrante con la dirección de destino correcta y el saliente con la dirección de origen correcta. Eso debería funcionar (pero supongo que también bloquearía cualquier tráfico de transmisión, pensé que sería aceptable para ese escenario). Sin embargo, ¿hay alguna manera mejor de hacerlo (sin modificaciones en los enrutadores)? ¿Cuál es la práctica común para este problema?
Respuesta1
IPTables no puede bloquear el tráfico DHCP, ya que utiliza filtros de paquetes que se vinculan a la pila de IP, antes del firewall.Este enlacehabla de CentOS, sin embargo el principio es el mismo.
Si es otro cliente de estos hosts, envíe un ticket de soporte urgente al NOC de su proveedor indicando un servidor DHCP no autorizado en la red y deberían (si están haciendo su trabajo correctamente) saltar a él con bastante rapidez. Si este es su hardware en el que se ejecutan estas máquinas virtuales y no tiene acceso a la transmisión de la máquina virtual, deshabilitaría la red y pediría al cliente que se conecte a través de la consola para resolver el problema.
Respuesta2
Después de descubrir que iptablesno son los más adecuados para eso, en parte gracias a la respuesta anterior de Christopher para esa información, leí un poco ebtables, solo para descubrir que Proxmox ya tiene soporte integrado para prevenir la suplantación de IP.
Todo lo que es necesario es agregar la siguiente regla a la configuración del firewall de cada máquina virtual en Proxmox (ver /etc/pve/firewall/<VMID>.fwarchivos) y funciona con IPv4 e IPv6:
[IPSET ipfilter-net0]
1.2.3.4
2f1:2:3:4::1
De todos modos, eso ya estaba oculto en los documentos oficiales:mira la secciónConjuntos de IP>Conjunto de IP estándar ipfilter-net*