Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?

Ho i miei ospiti KVM su una configuration standard br0 bridge:

auto br0 iface br0 inet static address 192.168.1.117 netmask 255.255.255.0 network 192.168.1.1 broadcast 192.168.1.225 gateway 192.168.1.1 bridge_ports eth0 bridge_stp off bridge_fd 0 auto eth1 iface eth1 inet static address 10.0.0.117 netmask 255.255.255.0 gateway 10.0.0.1 broadcast 10.0.0.225 

eth1 è riservato ad altro traffico, ma un ospite potrebbe semplicemente cambiare ip per collegarsi ad esso.

  • Esegui l'attività di creazione in Hudson con privilegi di root
  • iptables per Windows per redirect il traffico
  • Virtualizzazione - Linux host KVM-QEMU host di Windows VM, come accedere all'unità di dati
  • iptables per lanciare per un istante IP con connessioni recentemente fallite
  • Versione del monitoraggio di un'email che è stata "persa nel cyberspazio"
  • PHP 5.3.3 su RHEL 6.5 che riceve i fix di sicurezza?
  • Quello che sto cercando di get è lasciare tutto il traffico verso l'ospite / esterno / altri ospiti non appena un ospite tenta di cambiare sia il suo indirizzo IP o l'indirizzo MAC (nel tentativo di unirsi all'altra networking / spoof di un altro ospite)

    Ho provato molte interfacce (eth0, br0, tap0, tap +), ma non riesco a trovare la mia regola a destra:

     iptables -A INPUT -m physdev --physdev-in tap+ --physdev-out tap+ -s 192.168.1.205 -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP 

    L'inoltro IP è abilitato: non ci sono altre regole in iptables. Devo mancare qualcosa? O addirittura dovrei considerare di cercare di raggiungere questo altro modo?

  • si connetta a ssh server attraverso 80 via proxy HTTP?
  • Autenticazione chiave privata con pam_ldap
  • violazione nella mia macchina
  • SSH si interrompe con Troppi errori di authentication
  • Su CentOS 4.5, come mascherare una connessione utilizzando l'indirizzo MAC?
  • Perché 'pkill /?' uccidere la mia session SSH?
  • 2 Solutions collect form web for “Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?”

    Per quanto posso vederti non puoi fare alcune delle cose che devi fare con iptables. È necessario filtrare a livello ponte. Dovresti probabilmente dare un'occhiata a ebtables – è come iptables per ponti.

    Manuale: http://ebtables.sourceforge.net/misc/ebtables-man.html

    Ho cercato di creare un model per il semplice set di regole iptables per il tuo problema, prova questo:

     iptables -t filter -A FORWARD -m physdev --physdev-in $LINK_FOR_THE_VM --physdev-is-bridged -j ${VMID}-out iptables -t filter -A ${VMID}-out -m mac ! --mac-source $MAC_ADDR_FOR_THE_VIRTUAL_NIC -j DROP iptables -t filter -A ${VMID}-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A ${VMID}-out ! -s $PERMITTED_IP_ADDR_FOR_THE_VM -j DROP iptables -t filter -A ${VMID}-out -j RETURN 

    Ecco un esempio:

     iptables -t filter -A FORWARD -m physdev --physdev-in vm10 --physdev-is-bridged -j 10-out iptables -t filter -A 10-out -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP iptables -t filter -A 10-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A 10-out ! -s 192.168.1.205 -j DROP iptables -t filter -A 10-out -j RETURN 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.