Виртуальная машина QEMU с интерфейсом tap видит все пакеты, поступающие от гипервизора, а не реальный IP-адрес источника.

Christian

29.11.2022, 07:46

Я настроил очень простой гипервизор с использованием Alpine Linux, и моя виртуальная машина видит весь трафик, поступающий с IP-адреса гипервизора.

Это также означает, что если fail2ban пытается заблокировать атаки, он всегда блокирует IP-адрес гипервизора.

Как я могу заставить виртуальную машину видеть настоящие IP-адреса, а не только IP-адрес гипервизора?

Настройка интерфейса

На ВВ(192.168.5.5) у меня мостовой интерфейс бр0 который работает нормально

# скрипт настройки tun1 на гипервизоре
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -P ПЕРЕДАТЬ ПРИНЯТЬ
ip tuntap add dev режим tap1 коснитесь root пользователя
ip link set dev tap1 up
ip link set tap1 master br0

qemu-system-x86_64 [..не связанные параметры удалены..] \
-device virtio-net-pci,netdev=network0,mac=02:1f:ba:26:d7:56 \
-netdev tap,id=network0,ifname=tap1,script=нет,downscript=нет

Виртуальная машина имеет доступ в Интернет, но весь трафик, который она видит, поступает с IP-адреса гипервизора.

ВМ видит только IP-адреса HV

Кто-то даже пытается использовать мой сервер для атаки с усилением DNS (хотя исходящие сообщения заблокированы на моем брандмауэре PFSense)

Fail2ban также блокирует неправильный IP

158

1 + 0

тун

кему

kvm-виртуализация

альпийский

Рейтинг:0

Server

Christian

29.11.2022, 08:09

Причиной этого является правило постмаршрутизации iptable.

После удаления iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE используя команду iptables -t nat -D POSTROUTING -o br0 -j MASQUERADE оно работает.

0 + 0

Admin

Этот вопрос на других языках:

EN: QEMU VM with tap interface sees all packages coming from hypervisor instead of real source IP

TH: QEMU VM พร้อมอินเทอร์เฟซการแตะเห็นแพ็คเกจทั้งหมดที่มาจากไฮเปอร์ไวเซอร์แทนที่จะเป็น IP ต้นทางจริง

RO: QEMU VM cu interfață tap vede toate pachetele care provin de la hypervisor în loc de IP-ul sursă reală

RU: Виртуальная машина QEMU с интерфейсом tap видит все пакеты, поступающие от гипервизора, а не реальный IP-адрес источника.

VI: QEMU VM với giao diện nhấn sẽ thấy tất cả các gói đến từ trình ảo hóa thay vì IP nguồn thực

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.