所以我決定今天在兩台虛擬機器上玩一下EoIP Tunnels,我RouterOS在它們上安裝了免費試用版。
我iptables在虛擬機器管理程式(即Proxmox)上設定了規則,以防止除我的電腦之外對虛擬機器的任何輸入,但我的OUTPUT策略是ACCEPT。
現在,除了我的電腦之外,我無法從任何地方連接虛擬機,而且我的兩個虛擬機 ( )ping也無法相互連接,但工作正常,我正在將資料包從一個虛擬機路由到另一個虛擬機。pingRouterOSEoIP TunnelRouterOS
iptables兩台虛擬機器上的配置:
IN ACCEPT -source a.b.c.d
IN DROP
(abcd是我電腦的IP)
我做錯了什麼?
RouterOS的配置:
虛擬機器1:
/ip address
# ADDRESS NETWORK INTERFACE
0 r.o.s.1/32 m.a.i.n ether1
1 172.22.22.1/30 172.22.22.0 eoiptunnel
/ip route
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.22.22.2 1
1 ADC m.a.i.n/32 r.o.s.1 ether1 0
2 ADC 172.22.22.0/30 172.22.22.1 eoiptunnel 0
虛擬機器2:
/ip address
# ADDRESS NETWORK INTERFACE
0 r.o.s.2/32 m.a.i.n ether1
1 172.22.22.2/30 172.22.22.0 eoiptunnel
IP:
r.o.s.1 : Router OS 1
r.o.s.2 : Router OS 2
m.a.i.n : Main Server IP
我透過監視主機伺服器上的流量,iptraf並觀察到兩個RouterOS伺服器透過另一個介面相互查看,實際上我意識到對於每個虛擬機,proxmox都會創建4 個接口,因此我假設同一網橋上的兩個虛擬機之間的「一些」資料包會通過另一個介面。
proxmox我必須閱讀有關建立每個虛擬機器時建立的多個介面的文件。
答案1
可以說你沒有做錯什麼。
您的iptables規則阻止了進入 Proxmox 環境的流量,而您的兩個客人正在透過內部網橋相互交談。
這些iptables規則不會影響虛擬機器之間的橋接流量,這是設計使然。 (如果您透過主機將流量從一台虛擬機路由到另一台虛擬機,或者您嘗試在虛擬機和主機之間執行 ping 操作,則iptables規則將適用。)