KVM i publiczne IP


(Krzysiek_PL_) #1

Hejka,

mam pytanie odnośnie serwera KVM/Qemu i publicznych IP.

Serwer KVM instalowałem wg tego: https://wiblo.pl/2016/03/09/debian-wirtualizacja-kvm-qemu/

Na chwilę obecną mam serwer i 5 publicznych IP.
Serwer DHCP dla tej sieci mam wyłączony.

Powiedzmy, że KVM ma IP 44.144.44.41
VM01 - 44.144.44.42
VM02 - 44.144.44.43
VM03 - 44.144.44.44

NA KVM ustawiłem sieć statycznie.

/etc/network/interfaces

auto lo
iface lo inet loopback
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address 44.144.44.41
netmask 255.255.255.240
network 44.144.44.32
broadcast 44.144.44.47
gateway 44.144.44.40
dns-nameservers 8.8.8.8 8.8.4.4
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp on

Internet działa na KVM jak i na gościach, mam dostęp z zewnątrz po odblokowaniu portów.
Ale mam mały problem z eth0 i br0 na serwerze KVM ponieważ mam bardzo dużo dropów.

ifconfig eth0

eth0 Link encap:Ethernet HWaddr c8:cb:b8:c5:44:55
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28780865 errors:0 dropped:20062 overruns:0 frame:0
TX packets:29063756 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:18529675140 (17.2 GiB) TX bytes:22014851668 (20.5 GiB)
Interrupt:18

ifconfig br0

br0 Link encap:Ethernet HWaddr c8:cb:b8:c5:44:55
inet addr:44.144.44.41 Bcast:44.144.44.47 Mask:255.255.255.240
inet6 addr: fe80::cacb:b8cc:efc5:4433/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:392770 errors:0 dropped:1634 overruns:0 frame:100:
TX packets:526227 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:59447386 (56.6 MiB) TX bytes:49188201 (46.9 MiB)

Na wirtualnych maszynach nie mam żadnych dropów.

Na hoście jak i virtualkach nie mam problemu z wysłaniem czy odbieraniem danych.
Wrzucałem pliki na hosta jak i virtualki. Mam serwer poczty na jednej vm i też nie mam żadnych problemów, z sql na innej vm też nie ma problemów. Wszystko działa…

Skąd biorą się te dropy?

Gdzie mogłem zrobić błąd?


(roobal) #2

Masz do interfejsu przypięte publiczne IP, w sieci jest masa botów, ktora skanuje co się da. Pakiet chce trafić do celu, ktorego nie ma, więc jest odrzucany.

Nie masz błędów, wszystko działa, więc to nie problem konfiguracji karty sieciowej.


(Krzysiek_PL_) #3

Szczerze to o tym nie pomyślałem. Dzięki za wyjaśnienie!

Dobra KVM ma pubiczne IP, ale każdy VM również ma osobny publiczny adres IP. Jest ich razem 5.
Na tych VM nie powinno również być porzuconych pakietów?

@roobal Wesołych Świąt! :slight_smile:


(roobal) #4

Każdy na innym interjesie fizycznym czy na br0? Na vnet też masz dropy?

Tak z ciekawości zapytam. Czemu nie masz tego za NATem? Masz jakiś firewall sprzętowy czy wszystko tniesz na iptables?

Pocztę masz klasycznie wszystko na jednej maszynie czy robiłeś może smtp gateway?

Tak się składa, że dziś skończyłem produkcyjne wdrożenie dużego systemu pocztowego :wink:

Do świąt jeszcze daleko, ale nawzajem :slight_smile:


(Krzysiek_PL_) #5

Na vnet nie mam żadnych dropów.
Wszystkie interfejsy mam na br0.
Porzucone pakiety chyba rozumiem dlaczego są tylko na br0 i eth0 serwera KVM.

Te serwery nie są za NATem.
Lokalna sieć jak wiadomo jest za NATem.

Firewall jest ten z routera EDGEROUTER LITE 3 no i iptables na każdym serwerze.
Czy przy takiej konfiguracji wymagany jest jeszcze sprzętowy firewall?
Jeśli wymagany jest jeszcze firewall to mogę zbudować go z microservera z dwiema kartami sieciowymi?

Wcześniej miałem jakiś router od BT UK, ale szczerze to bardzo często miał jakieś przymulenia dlatego wymieniłem go na EDGEROUTER.

Każdy VM ma osobny publiczny stały IP ponieważ za pierwszym razem jak zrobiłem VM za NATem to miałem problem przy konfiguracji serwera poczty.

Wszystkie usługi działały za NATem, ale poczta nie chciała dochodzić. WWW, SQL działały spoza mojej sieci, ale poczta nie działała dlatego takie rozwiązanie.

Jak powinna być zbudowana sieć?


(roobal) #6

Ja mam NAT 1:1 dla różnych maszyn, każda również na innym IP. Pytam po prostu z ciekawości.