Bridge "in der Luft" für kvm

30/10/2013 - 15:39 von Holger Marzen | Report spam
Ich möchte in kvm eine isolierte Umgebung aufsetzen, und zwar so, dass
aller Traffic durch eine virtuelle Maschine geht. Diese virtuelle
Maschine hat ein Bein in einer Bridge auf dem Host, in der auch dessen
eth0 liegt. Das andere Bein liegt in einer Bridge, die mir kvm bzw.
dessen grafisches Tool angelegt hat:

hm@bluebell:~$ brctl show virbr1
bridge name bridge id STP enabled interfaces
virbr1 8000.52540038faf2 yes virbr1-nic
vnet2
vnet3
vnet4

Soweit so gut. Das klappt auch. Diese Bridge hat aber eine ip-Adresse:

virbr1 Link encap:Ethernet Hardware Adresse 52:54:00:38:fa:f2
inet Adresse:10.66.100.1 Bcast:10.66.100.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:33797 errors:0 dropped:0 overruns:0 frame:0
TX packets:777 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlànge:0
RX-Bytes:2624548 (2.6 MB) TX-Bytes:80673 (80.6 KB)

Mit Erschrecken habe ich festgestellt, dass die virtuellen Maschinen im
virtuellen Netz 10.66.100.0/24 auf den Host zugreifen und so den
virtuellen Router/Paketfilter im selben Netz umgehen können.

Wie kann ich das denn verhindern? Kann ich die Bridge "in die Luft"
hàngen, so wie man das mit Virtualbox und Vmware tun kann? Oder muss ich
auf dem Host Paketfilterregeln setzen, die den Zugriff verbieten?
 

Lesen sie die antworten

#1 Bernd
30/10/2013 - 17:12 | Warnen spam
Am Wed, 30 Oct 2013 14:39:49 +0000 (UTC)
schrieb Holger Marzen :

Ich möchte in kvm eine isolierte Umgebung aufsetzen, und zwar so, dass
aller Traffic durch eine virtuelle Maschine geht. Diese virtuelle
Maschine hat ein Bein in einer Bridge auf dem Host, in der auch dessen
eth0 liegt. Das andere Bein liegt in einer Bridge, die mir kvm bzw.
dessen grafisches Tool angelegt hat:

:~$ brctl show virbr1
bridge name bridge id STP enabled interfaces
virbr1 8000.52540038faf2 yes virbr1-nic
vnet2
vnet3
vnet4

Soweit so gut. Das klappt auch. Diese Bridge hat aber eine ip-Adresse:

virbr1 Link encap:Ethernet Hardware Adresse 52:54:00:38:fa:f2
inet Adresse:10.66.100.1 Bcast:10.66.100.255
Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:33797 errors:0 dropped:0 overruns:0 frame:0
TX packets:777 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlànge:0
RX-Bytes:2624548 (2.6 MB) TX-Bytes:80673 (80.6 KB)

Mit Erschrecken habe ich festgestellt, dass die virtuellen Maschinen
im virtuellen Netz 10.66.100.0/24 auf den Host zugreifen und so den
virtuellen Router/Paketfilter im selben Netz umgehen können.

Wie kann ich das denn verhindern? Kann ich die Bridge "in die Luft"
hàngen, so wie man das mit Virtualbox und Vmware tun kann? Oder muss
ich auf dem Host Paketfilterregeln setzen, die den Zugriff verbieten?



Das Stichwort lautet MacVTap.
Damit kannst Du eine physische Karte komplett vom KVM-Host trennen und
sie ausschließlich der VM zugànglich machen.
Der Mode sollte dann 'passthrough' sein, der Treiber virtio, Ggf. musst
Du erst noch den Treiber laden (modprobe macvtap)

Bernd

Ähnliche fragen