Paramètres lors de l'utilisation d'un pont

J'ai un pont mis en place entre mon interface Ethernet physique, eth0 , et l'interface virtuelle pour OpenVPN, tap0 . Le pont a une adresse IP, et la machine peut être contactée sur cette adresse IP à partir de l'une ou l'autre interface. Cependant, je ne sais pas quoi configurer pour get le trafic circulant sur le pont, entre les interfaces.

net.ipv4.ip_forward = 1 nécessaire de définir un pontage ou est-ce simplement un paramètre requirejs pour le routing?

Comment dois-je configurer la string FORWARD dans iptables ? Idéalement, seul le trafic entre les interfaces devrait être transféré, de sorte que la machine ne puisse pas être utilisée comme sharepoint rebond dans le réseau.

Vous n'avez pas besoin de définir ip_forward = 1 sauf si l'interface agit comme un NAT pour les autres périphériques, ce qui ne devrait pas être le cas si vous les avez configurés comme un pont.

Exemple

Voici ma configuration de server KVM qui a un dispositif de pont, br0 , avec le périphérique ethernet physique, eth0 + toutes les interfaces pour les invités KVM.

 $ brctl show bridge name bridge id STP enabled interfaces br0 8000.bcaec123c1e2 no eth0 vnet0 vnet1 vnet2 vnet3 vnet4 vnet5 virbr0 8000.52540003f256 yes virbr0-nic 

Alors, qu'est-ce qui ne va pas?

Selon votre description, il semble que vous n'ayez pas de règles de routing pour apather les packages d'une interface à l'autre.

Hôte avec le pont

 $ ip route show 192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.200 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 169.254.0.0/16 dev br0 scope link mesortingc 1008 default via 192.168.1.1 dev br0 

Hôte avec NIC qui est membre du bridge

 $ ip route show 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.218 169.254.0.0/16 dev eth0 scope link mesortingc 1002 default via 192.168.1.1 dev eth0 

Cependant, vous rencontrez probablement un problème avec le mixage du périphérique tap0 et du périphérique ethernet physique, eth0 , dans un pont.

Tapez des appareils dans les ponts

Étant donné que vous utilisez un périphérique TAP, tap0 vous aurez probablement besoin de configurer votre pare-feu pour permettre à ces packages d'aller et venir sur le pont.

Configurez maintenant le pare-feu Linux pour permettre aux packages de circuler librement sur les interfaces tap0 et br0 nouvellement créées:

 $ sudo iptables -A INPUT -i tap0 -j ACCEPT $ sudo iptables -A INPUT -i br0 -j ACCEPT $ sudo iptables -A FORWARD -i br0 -j ACCEPT 

Les references

  • Bridging Overview – Wiki OpenVPN
  • Bridging vs Routing – FAQ OpenVPN