Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?

Ho i miei ospiti KVM su una configuration standard br0 bridge:

auto br0 iface br0 inet static address 192.168.1.117 netmask 255.255.255.0 network 192.168.1.1 broadcast 192.168.1.225 gateway 192.168.1.1 bridge_ports eth0 bridge_stp off bridge_fd 0 auto eth1 iface eth1 inet static address 10.0.0.117 netmask 255.255.255.0 gateway 10.0.0.1 broadcast 10.0.0.225 

eth1 è riservato ad altro traffico, ma un ospite potrebbe semplicemente cambiare ip per collegarsi ad esso.

  • Vulnerabilità di JBOSS
  • Che cosa registra auditd per impostazione predefinita (cioè quando non sono definite regole?)
  • Sono a rischio lasciando un account FTP di prova disponibile sul server?
  • Come posso permettere a un utente di accedere a un altro senza consentire l'accesso di root?
  • elenca tutte le tabelle di path
  • Cifre più sicure da utilizzare con BEAST? (TLS 1.0 exploit) Ho letto che RC4 è immune
  • Quello che sto cercando di get è lasciare tutto il traffico verso l'ospite / esterno / altri ospiti non appena un ospite tenta di cambiare sia il suo indirizzo IP o l'indirizzo MAC (nel tentativo di unirsi all'altra networking / spoof di un altro ospite)

    Ho provato molte interfacce (eth0, br0, tap0, tap +), ma non riesco a trovare la mia regola a destra:

     iptables -A INPUT -m physdev --physdev-in tap+ --physdev-out tap+ -s 192.168.1.205 -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP 

    L'inoltro IP è abilitato: non ci sono altre regole in iptables. Devo mancare qualcosa? O addirittura dovrei considerare di cercare di raggiungere questo altro modo?

  • Esegui script locali su ssh
  • Contare la width di banda da un contenitore Docker
  • Perché cambiare la port ssh predefinita?
  • SSL Accelerator per il server SSH
  • Aggiunta di latenza ai pacchetti UDP in output con tc
  • Ho l'accesso root di WHM, ma non sono in grado di connettersi utilizzando SSH
  • 2 Solutions collect form web for “Linux-KVM / iptables: impedisce che spoofing ospiti corrisponda all'indirizzo ip + mac sul ponte?”

    Per quanto posso vederti non puoi fare alcune delle cose che devi fare con iptables. È necessario filtrare a livello ponte. Dovresti probabilmente dare un'occhiata a ebtables – è come iptables per ponti.

    Manuale: http://ebtables.sourceforge.net/misc/ebtables-man.html

    Ho cercato di creare un model per il semplice set di regole iptables per il tuo problema, prova questo:

     iptables -t filter -A FORWARD -m physdev --physdev-in $LINK_FOR_THE_VM --physdev-is-bridged -j ${VMID}-out iptables -t filter -A ${VMID}-out -m mac ! --mac-source $MAC_ADDR_FOR_THE_VIRTUAL_NIC -j DROP iptables -t filter -A ${VMID}-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A ${VMID}-out ! -s $PERMITTED_IP_ADDR_FOR_THE_VM -j DROP iptables -t filter -A ${VMID}-out -j RETURN 

    Ecco un esempio:

     iptables -t filter -A FORWARD -m physdev --physdev-in vm10 --physdev-is-bridged -j 10-out iptables -t filter -A 10-out -m mac ! --mac-source 52:54:5a:8d:77:8e -j DROP iptables -t filter -A 10-out -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT iptables -t filter -A 10-out ! -s 192.168.1.205 -j DROP iptables -t filter -A 10-out -j RETURN 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.