+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RSS

Запускаю iftop на KVM, и наблюдается куча трафика на другие IP-адреса (другие гостевые KVM). Это может быть связано с какой-то проблемой безопасности?, Proxmox Виртуальная Среда

Inlakesh Guest	#1 0 29.03.2020 05:12:00 Если каждый гостевой KVM может получать входящий трафик, это проблема безопасности. Я вижу входящий трафик других, значит, другие могут видеть мой входящий трафик. Есть ли способ это предотвратить?

BobhWasatch

Guest

20.01.2024 20:02:00

Весь трафик? Сомневаюсь. Скорее всего, ты увидишь в основном broadcast и multicast трафик от других ВМ (например, ARP запросы "who-has", mdns/bonjour, IPv6 router adverts и подобное). Также будет небольшое количество трафика от ВМ, MAC-адреса которых устарели в кэше свитча. Так работает коммутируемый Ethernet. Единственный способ этого избежать — использовать VLAN.

norissiron Guest	#3 0 20.01.2024 19:34:00 Есть ли какой-нибудь другой способ скрыть трафик, кроме использования отдельных VLAN для каждой ВМ?

sb-jw

Guest

20.01.2024 19:47:00

Внутри ВМ можно активировать брандмауэр для сетевой карты, в настройках активируете его, а также IP-фильтр и MAC-фильтр, устанавливаете политику по умолчанию для входящего и исходящего трафика в "drop". Под "IPSet" создаете новый набор "ipfilter-net0" (имя "net0" должно совпадать с интерфейсом под Hardware), там добавляете IP-адреса, которые ВМ может использовать. В конце концов, под самим брандмауэром создаете две правила ACCEPT: одно для входящего трафика с назначением "+ipfilter-net0" и другое для исходящего с источником "+ipfilter-net0".

norissiron

Guest

20.01.2024 19:49:00

Да, так мы уже и делаем. Но если я посмотрю на iftop или запущу tcpdump, я все равно вижу трафик от других ВМ на том же хосте. Даже если я создам правило DROP & DROP и просто понаблюдаю за iftop, подключенным к NoVNC, я все равно вижу трафик других гостей.

sb-jw Guest	#6 0 20.01.2024 19:51:00 Посмотрю ещё раз сам, чтобы убедиться. Я в основном использовал это, чтобы предотвратить подделку IP-адресов. Не могли бы вы, пожалуйста, рассказать о вашей точной конфигурации? Я тогда ещё раз всё проверю.

norissiron

Guest

20.01.2024 19:53:00

Чтобы предотвратить подмену IP-адреса, это работает хорошо, но в нашей конфигурации не предотвращает просмотр другого трафика. Я также могу видеть другой трафик с сетевым адаптером без назначенного IP-адреса.

leesteken

Guest

20.01.2024 19:58:00

Может, Linux виртуальный мост — это не совсем то, что нужно для вашего случая? Может, лучше мост на каждую VM и своя VM-маршрутизатор? У меня нет опыта работы с OVS или новым SDN, но может, они могут работать как коммутаторы, а не как мосты?

BobhWasatch

Guest

20.01.2024 20:17:00

Linux bridge — это коммутатор. Он работает точно так же, как физический коммутатор с MAC-кэшем. Поддерживает даже Spanning Tree. Первый пакет с нового MAC-адреса или пакет, срок действия которого истёк в кэше, будет отправлен на все порты (затоплен), как и широковещательный и весь или часть multicast-трафика (в зависимости от настроек IGMP snoop). Но подавляющее большинство трафика не будет отправляться на все порты. Если автор вопроса действительно видит весь трафик от других VM, то что-то не так.

sb-jw

Guest

#10

20.01.2024 20:27:00

Я только что снова это проверил, и осталось только несколько ARP-запросов и немного STP-пакетов, что я бы не назвал особенно драматичным. В общих средах, таких как хостинг серверов или ВМ, так обычно и происходит, нельзя настроить отдельную VLAN для каждого клиента VPS за 2 евро, это бессмысленно. То, что я не могу отследить – это, с каким другим IP общается какой, поэтому я вижу только трафик, предназначенный для моего IP, или широковещательные пакеты.

leesteken

Guest

#11

20.01.2024 20:31:00

Спасибо за поправку. Переход действительно звучит намного разумнее (и эффективнее для "бриджа" и ВМ). Называть это "Linux Bridge" к сожалению, сбивает с толку (или я просто неправильно использую термины?). Я проверил руководство, и там тоже указано, что Linux bridge можно рассматривать как виртуальный коммутатор.

BobhWasatch Guest	#12 0 20.01.2024 20:38:00 Не уверен, откуда взялась эта терминология и почему это называют "мостом". Open Virtual Switch (OVS) кажется более понятным, хотя реальная цель OVS — делать маршрутизацию политик на уровне 2 (например, инкапсуляция QinQ), чего стандартный мост не может. Другой традиционный термин — "хаб". Это были устройства, которые заливали все пакеты на все порты, но они исчезли с появлением гигабитного Ethernet, поскольку полудуплексный гигабитный Ethernet никогда по-настоящему не был популярен (хотя он и был указан в спецификации). Кстати, чтобы быть понятным, "хаб" — это полудуплексное устройство, которое просто действует как повторитель. Он в какой-то степени имитировал поведение коаксиального Ethernet.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры