%20IP%20%EC%A3%BC%EC%86%8C%20%EB%8F%84%EC%9A%A9%EC%9D%84%20%EB%B0%A9%EC%A7%80%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
다음 구성을 가정해 보겠습니다. IP 서브넷을 알리는 라우터와 몇 개의 Proxmox 기반 KVM 호스트. 각 Proxmox 기반 가상화 호스트는 고객이 관리하는 여러 가상 서버를 실행하며 각 가상 서버에는 하나 이상의 IP가 할당됩니다.
잘못 구성되거나 악의적인 가상 서버가 해당 서버에 속하지 않는 IP를 발표하는 것을 어떻게 방지할 수 있습니까?
내가 생각해 낼 수 있는 가장 좋은 아이디어는 iptables-firewall 규칙을 사용하여 올바른 대상 주소로 들어오는 트래픽과 올바른 소스 주소로 나가는 트래픽을 제외한 모든 트래픽을 차단하는 것입니다. 그러면 작동할 것입니다(그러나 내 생각에 모든 브로드캐스트 트래픽도 차단할 것입니다. 해당 시나리오에서는 허용될 것이라고 생각했습니다). 그러나 라우터를 변경하지 않고 이를 수행할 수 있는 더 좋은 방법이 있습니까? 이 문제에 대한 일반적인 관행은 무엇입니까?
답변1
IPTables는 방화벽 이전에 IP 스택에 연결되는 패킷 필터를 사용하므로 DHCP 트래픽을 차단할 수 없습니다.이 링크CentOS에 대해 이야기하지만 원칙은 동일합니다.
귀하가 이러한 호스트의 또 다른 고객인 경우, 네트워크의 불량 DHCP 서버를 나타내는 공급자의 NOC를 통해 긴급 지원 티켓을 제출하세요. 그러면 그들은 (작업을 제대로 수행하고 있는 경우) 꽤 빨리 조치를 취해야 합니다. 이것이 VM이 실행되고 있는 하드웨어이고 VM 브로드캐스팅에 액세스할 수 없는 경우 네트워킹을 비활성화하고 고객이 콘솔을 통해 연결하여 문제를 해결하도록 할 것입니다.
답변2
iptables그것이 적합하지 않다는 것을 알아낸 후 부분적으로는 해당 정보에 대한 위의 Christophers의 답변 덕분 ebtables에 Proxmox가 이미 IP 스푸핑 방지를 위한 지원을 내장하고 있다는 것을 알아내기 위해 를 읽었습니다.
필요한 것은 Proxmox( /etc/pve/firewall/<VMID>.fw파일 참조)의 각 가상 머신 방화벽 설정에 다음 규칙을 추가하고 IPv4 및 IPv6에서 작동하는 것입니다.
[IPSET ipfilter-net0]
1.2.3.4
2f1:2:3:4::1
어쨌든 공식 문서에는 이미 숨겨져 있습니다.섹션 참조IP 세트>표준 IP 세트 ipfilter-net*