%20endere%C3%A7os%20IP%20em%20hosts%20de%20virtualiza%C3%A7%C3%A3o%20baseados%20em%20KVM%2FProxmox%3F.png)
Vamos supor a seguinte configuração: um roteador que anuncia sub-redes IP e alguns hosts KVM baseados em Proxmox. Cada host de virtualização baseado em Proxmox executa vários servidores virtuais gerenciados pelos clientes e cada servidor virtual recebe um ou vários IPs atribuídos.
Como posso evitar que servidores virtuais (mal configurados ou malvados) anunciem IPs que não pertencem ao seu servidor?
A melhor ideia que pude ter é usar iptablesregras -firewall para bloquear qualquer tráfego, exceto o de entrada com o endereço de destino correto e o de saída com o endereço de origem correto. Isso deveria funcionar (mas também bloquearia qualquer tráfego de transmissão, eu acho, pensei que seria aceitável para esse cenário). Porém, existe alguma maneira melhor de fazer isso (sem alterações nos roteadores)? Qual é a prática comum para este problema?
Responder1
IPTables não pode bloquear o tráfego DHCP, pois usa filtros de pacotes que se conectam à pilha IP, antes do firewall.Esse linkfala sobre CentOS, porém o princípio é o mesmo.
Se você for outro cliente desses hosts, crie um tíquete de suporte urgente com o NOC do seu provedor, indicando um servidor DHCP não autorizado na rede e eles deverão (se estiverem fazendo seu trabalho corretamente) acessá-lo rapidamente. Se este for o seu hardware em que essas VMs estão sendo executadas e você não tiver acesso à transmissão da VM, eu desativaria a rede e faria com que o cliente se conectasse via console para resolver o problema.
Responder2
Depois de descobrir que iptablesnão são adequados para isso, em parte graças à resposta de Christophers acima para essa informação, fiz algumas leituras ebtables, apenas para descobrir que o Proxmox já possui suporte integrado para evitar falsificação de IP.
Basta adicionar a seguinte regra às configurações de firewall de cada máquina virtual no Proxmox (ver /etc/pve/firewall/<VMID>.fwarquivos) e funciona com IPv4 e IPv6:
[IPSET ipfilter-net0]
1.2.3.4
2f1:2:3:4::1
De qualquer forma, isso já estava oculto nos documentos oficiais:veja a seçãoConjuntos de IP>Conjunto de IP padrão ipfilter-net*