%20IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%85%D0%BE%D1%81%D1%82%D0%B0%D1%85%20%D0%B2%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8%20%D0%BD%D0%B0%20%D0%B1%D0%B0%D0%B7%D0%B5%20KVM%2FProxmox%3F.png)
Предположим следующую конфигурацию: маршрутизатор, который объявляет IP-подсети, и несколько хостов KVM на базе Proxmox. Каждый хост виртуализации на базе Proxmox запускает несколько виртуальных серверов, управляемых клиентами, и каждому виртуальному серверу назначается один или несколько IP-адресов.
Как предотвратить ситуацию, когда виртуальный сервер (неправильно настроенный или вредоносный) объявляет IP-адреса, которые не принадлежат его серверу?
Лучшая идея, которую я смог придумать, это использовать iptablesправила -firewall для блокировки любого трафика, кроме входящего с правильным адресом назначения и исходящего с правильным адресом источника. Это должно сработать (но также заблокирует любой широковещательный трафик, я полагаю, это было бы приемлемо для этого сценария). Однако есть ли лучший способ сделать это (без изменений на маршрутизаторах)? Какова общепринятая практика решения этой проблемы?
решение1
IPTables не может блокировать трафик DHCP, поскольку он использует пакетные фильтры, которые подключаются к стеку IP до брандмауэра.Эта ссылкаречь идет о CentOS, однако принцип тот же.
Если вы еще один клиент на этих хостах, срочно отправьте тикет в службу поддержки NOC вашего провайдера, указав на несанкционированный DHCP-сервер в сети, и они должны (если они правильно выполняют свою работу) довольно быстро на него отреагировать. Если это ваше оборудование, на котором работают эти виртуальные машины, и у вас нет доступа к вещанию виртуальных машин, я бы отключил сетевое взаимодействие на и попросил клиента подключиться через консоль, чтобы решить проблему.
решение2
Выяснив, что iptablesони для этого не подходят, отчасти благодаря ответу Кристофера выше на эту тему, я немного почитал ebtables, просто чтобы выяснить, что Proxmox уже имеет встроенную поддержку для предотвращения подмены IP-адреса.
Все, что нужно, это добавить следующее правило в настройки брандмауэра каждой виртуальной машины в Proxmox (см. /etc/pve/firewall/<VMID>.fwфайлы), работающее с IPv4 и IPv6:
[IPSET ipfilter-net0]
1.2.3.4
2f1:2:3:4::1
В любом случае, это уже было скрыто в официальных документах:см. разделIP-наборы>Стандартный набор IP ipfilter-net*