Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?

Ho i miei ospiti KVM su una configuration standard br0 bridge:

auto br0 iface br0 inet static address 192.168.1.117 netmask 255.255.255.0 network 192.168.1.1 broadcast 192.168.1.225 gateway 192.168.1.1 bridge_ports eth0 bridge_stp off bridge_fd 0 auto eth1 iface eth1 inet static address 10.0.0.117 netmask 255.255.255.0 gateway 10.0.0.1 broadcast 10.0.0.225 

eth1 è riservato ad altro traffico, ma un ospite potrebbe semplicemente cambiare ip per collegarsi ad esso.

  • Protezione dell'installazione di WordPress Blog
  • Più ips in una row in iptables
  • Come modificare il pool di memory predefinito da libvirt?
  • Affrontare gli attacchi HTTP w00tw00t
  • Quali sono i rischi per la sicurezza di rendere pubblicamente visibile Nagios?
  • C'è comunque per determinare chi ha lasciato cadere un tavolo?
  • Quello che sto cercando di get è lasciare tutto il traffico verso l'ospite / esterno / altri ospiti non appena un ospite tenta di cambiare sia il suo indirizzo IP o l'indirizzo MAC (nel tentativo di unirsi all'altra networking / spoof di un altro ospite)

    Ho provato molte interfacce (eth0, br0, tap0, tap +), ma non riesco a trovare la mia regola a destra:

     iptables -A INPUT -m physdev --physdev-in tap+ --physdev-out tap+ -s 192.168.1.205 -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP 

    L'inoltro IP è abilitato: non ci sono altre regole in iptables. Devo mancare qualcosa? O addirittura dovrei considerare di cercare di raggiungere questo altro modo?

  • Best Practice per la gestione di file AWS SSH .pem all'interno della squadra
  • Alcuni siti web non sono raggiungibili usando il gateway Linux
  • Connessione ssh lento quando si utilizza @ hostname.com, ma non quando si utilizza @ipaddress
  • Modificare / etc / hosts per accedere facilmente a un nome di dominio (o indirizzo IP) per l'istanza amazon EC2
  • I contatori Iptables ripristinano, quando utilizzano quote, non funzionano come previsto
  • Come fare ssh fallire se l'inoltro della port non riesce
  • 2 Solutions collect form web for “Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?”

    Per quanto posso vederti non puoi fare alcune delle cose che devi fare con iptables. È necessario filtrare a livello ponte. Dovresti probabilmente dare un'occhiata a ebtables – è come iptables per ponti.

    Manuale: http://ebtables.sourceforge.net/misc/ebtables-man.html

    Ho cercato di creare un model per il semplice set di regole iptables per il tuo problema, prova questo:

     iptables -t filter -A FORWARD -m physdev --physdev-in $LINK_FOR_THE_VM --physdev-is-bridged -j ${VMID}-out iptables -t filter -A ${VMID}-out -m mac ! --mac-source $MAC_ADDR_FOR_THE_VIRTUAL_NIC -j DROP iptables -t filter -A ${VMID}-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A ${VMID}-out ! -s $PERMITTED_IP_ADDR_FOR_THE_VM -j DROP iptables -t filter -A ${VMID}-out -j RETURN 

    Ecco un esempio:

     iptables -t filter -A FORWARD -m physdev --physdev-in vm10 --physdev-is-bridged -j 10-out iptables -t filter -A 10-out -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP iptables -t filter -A 10-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A 10-out ! -s 192.168.1.205 -j DROP iptables -t filter -A 10-out -j RETURN 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.