Aislando la máquina host de la red externa

0

Cómo evitar que una máquina host envíe o reciba paquetes con la siguiente configuración de red:

eth0 - NIC física :: no configurada;

tun0 - NIC virtual para VM, cuya función es la puerta de enlace para otras VMs: configurada automáticamente ( dhcp ), tiene acceso a Internet, recibe ip desde el enrutador ( 192.168.1.1/24 );

tun1 - NIC virtual, la puerta de enlace para otras máquinas virtuales :: 10.0.2.1/24 , dhcpd , iptables con NAT enmascarado 10.0.2.0/24 a través de tun0 (que es eth0 en la VM invitada)

bridge0 - puente que incluye eth0 y tun0 :: no configurado

bridge1 - puente que incluye todas las NIC virtuales de VM (tun {1 ...}) :: auto configurado, recibe ip desde el dhcpd de VM del gateway ( 10.0.2.1 ), pero se elimina la ruta predeterminada a través de 10.0.2.1 .

Quiero aislar completamente mi máquina host de la red externa (Internet en mi caso). Y necesito acceder a la red de máquinas virtuales 10.0.2.0/24 . Así que la tabla de rutas en la máquina host se ve así:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.2.0        0.0.0.0         255.255.255.0   U     0      0        0 br1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo

Pero hay una máquina virtual que es la puerta de acceso a Internet para otras máquinas virtuales, pero no para el host (que forma parte de la red 10.0.2.0/24). Me interesa si eliminar el gw predeterminado es suficiente o si algún software inteligente que se ejecuta en el espacio de usuario puede detectar que 10.0.2.1 es la puerta de entrada a Internet y el kernel de Linux permite enrutar a hosts desconocidos a través de eso.

    
pregunta trupanka 10.10.2013 - 20:34
fuente

2 respuestas

1

en la capa IP, la máquina host no recibirá ni transmitirá nada. Sin embargo, en la capa 2 y debajo verá todo el tráfico. ¿Cuál es tu verdadero objetivo?

    
respondido por el Vladimir Jirasek 10.10.2013 - 22:02
fuente
0

Lo lograría con una VLAN. Hay una buena explicación de VLANS en el sitio serverfault.com aquí:

Cómo configurar una red VLAN

    
respondido por el Colyn1337 10.10.2013 - 21:39
fuente

Lea otras preguntas en las etiquetas