IPTABLES не блокирует туннель EoIP

tag-icon tag-icon iptables vpn mikrotik tunnel routeros
IPTABLES не блокирует туннель EoIP

Поэтому я решил сегодня поиграться с EoIP Tunnelsдвумя виртуальными машинами, на которых установил бесплатную пробную версию RouterOS.

Я установил правила на iptablesгипервизоре (который является Proxmox), которые запрещают любой ввод данных в виртуальные машины, кроме моего ПК, но моя OUTPUTполитика такова ACCEPT.

Теперь я не могу pingподключиться к виртуальным машинам ниоткуда, кроме своего ПК, и не могу подключить pingдве свои виртуальные машины ( RouterOS) друг к другу, но EoIP Tunnelвсе работает нормально, и я маршрутизирую пакеты с одной RouterOSна другую.

iptablesКонфигурация на обеих виртуальных машинах:

IN ACCEPT -source a.b.c.d
IN DROP

(abcd — IP моего ПК)

Что я делаю не так?

Конфигурация RouterOS:

ВМ1:

/ip address
#   ADDRESS            NETWORK         INTERFACE                              
0   r.o.s.1/32         m.a.i.n         ether1                                 
1   172.22.22.1/30     172.22.22.0     eoiptunnel

/ip route
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          172.22.22.2               1
1 ADC  m.a.i.n/32         r.o.s.1         ether1                    0
2 ADC  172.22.22.0/30     172.22.22.1     eoiptunnel                0

ВМ2:

/ip address
#   ADDRESS            NETWORK         INTERFACE                              
0   r.o.s.2/32         m.a.i.n         ether1                                 
1   172.22.22.2/30     172.22.22.0     eoiptunnel

IP-адреса:

r.o.s.1 : Router OS 1
r.o.s.2 : Router OS 2
m.a.i.n : Main Server IP

Я отслеживаю трафик на своем хост-сервере iptrafи наблюдаю, как два RouterOSвиртуальных машины видят друг друга через другой интерфейс. На самом деле я понимаю, что для каждой виртуальной машины proxmoxсоздается 4 интерфейса, поэтому я предполагаю, что «некоторые» пакеты между двумя виртуальными машинами, которые находятся на одном мосту, проходят через другой интерфейс.

Мне необходимо прочитать документацию по нескольким интерфейсам, созданным proxmoxпри создании каждой виртуальной машины.

решение1

Вероятно, вы не делаете ничего плохого.

Ваши iptablesправила блокируют трафик в вашу среду Proxmox, а два ваших гостя общаются друг с другом через внутренний мост.

Правила iptablesне будут затрагивать трафик моста между виртуальными машинами, и это задумано. (Если вы направляете трафик с одной виртуальной машины на другую через свой хост или пытаетесь выполнить ping между виртуальной машиной и хостом, iptablesправила будут применяться.)

Связанный контент