LINUX.ORG.RU
ФорумAdmin

Как лучше построить сеть? Накидайте своих идей и мыслей.

 , ,


3

2

http://dump.bitcheese.net/files/jahonik/scrot.png

http://dump.bitcheese.net/files/xynokef/scrot.png

И так, друзья, шёл третий день как я развлекаюсь с виртуалками. Наверное, в 2077 году так будут называть кибер-девушек с низкой социальной ответственностью, но на сегодняшний день, к сожалению, это виртуальные машины KVM.

Во-первых, удалось с использованием бриджа построить локальную сеть, интерфейсу br0 присваивается 10.0.0.1/8, а когда запускается KVM, она автоматически поднимает интерфейс tap0, который цепляется к br0, затем отрабатывает ISC DHCP раздавая IP. Всё работает. Подробнее тут: Виртуалы не видят друг друга o_O

Во-вторых, удалось с использованием того же бриджа, без всяких пробросов PCI, пробросить MAC виртуальной машины на сетевую карту. Зачем это надо? В ПК подключён шнур провайдера, сетевая карта получает IP-адрес по маку и я в интернетах. Я хочу чтобы сетевая карта не получала IP адрес, а просто находилась в режиме UP, но когда я запускаю виртуалку с моим маком — виртуалка получала этот IP и находилась в интернете. Получается будто бы виртуалка сидит в танке. Действительно, что в таком случае способно грохнуть хост-систему? Наверное уже ничего, кроме физического воздействия, или очередного Spectre/Meltdown, но это ещё придётся и виртуалку взламывать, короче защита о-го-го.

Я не знаю, правильно ли я всё сделал, но делал это так:

# создаём бридж
ip link add name br0 type bridge
ip link set br0 up

# после запуска виртуалки c -nic tap включаем и tap0
ip link set tap0 address "мой мак"
ip link set tap0 master br0
ip link set tap0 up

# сетевая карта с провайдером
ip link set enp1s0 master br0
ip link set enp1s0 up

Я не знаю как, но это заработало, чёрт, я запустил qemu, в SeaBIOS набрал dhcp и увидел что по моему маку выдался мой внешний айпишник. О как.

Получив теперь «бессмертный хост», в котором взломанная (ключевое слово !если!) виртуалка просто перезапускается в три секунды... Надо что-то делать дальше.

Хочу:

1) Насоздавать кучу других виртуалок под каждый сервис в отдельности. Это ок.

2) Все эти виртуалки надо связать в единую локальную сеть ИИИ чтобы к этой сети могли так же подключаться другие устройства, а эти виртуалки выглядят как рядовые устройства в сети. Эту сеть надо вывести обратно на вторую физическую сетевую карту.

Что я от вас хочу услышать. Я хочу чтобы вы предложили мне свою идею для топологии сети. И всё. Я не архитектор, я макака с консолью, уж что правда то правда.

Стоит ли все реальные устройства объединять в сеть 192.168.0.0/16, а виртуалки держать отдельно в 10.0.0.0/8? Или лучше сделать чтобы все они были в одной подсети? Какие адреса и для чего красивше будет использовать? Как бы сделали вы? Поделитесь идеями.

Спасибо.

★★★★★

Ты создал какую-то невнятную НЁХ. Как вяжется

1) Насоздавать кучу других виртуалок под каждый сервис в отдельности. Это ок.

с тем что ты выдавил из себя?

Anoxemian ★★★★★ ()

Ты только сейчас открыл для себя виртуализацию ?

Ien_Shepard ★★★ ()

я всё перепроверил, действительно метод рабочий.

создаём бридж br0, добавляем в br0 интерфейс провайдера, добавляем в br0 интерфейс виртуалки. в результате на хосте айпишник не получаем, а его получит виртуалка.

теперь думаю надо как-то раздавать интернет с виртуалки обратно на хост и на другие виртуалки.

запустить виртуалку с двумя сетевыми интерфейсами, на втором интерфейсе, который не интернет, сделать обычную раздачу айпишников 192.168.0.0/24

а потом... этот второй интерфейс виртуалки засунуть во второй br1? а потом что? все кому нужен интернет засовывать в этот br1? получится как свич. хмм.. не знаю.

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

Ты придешь водку пить? Ну или не водку.

dk- ()

У меня разделение по принципу пользователи/гости/сетевое оборудование и физические серверы/виртуалки/подсеть wireguard, к которой статический маршрут на гейте прописан. Все подсети по 24, каждая в своем VLAN'е, больше мне к счастью не понадобилось не понадобилось. Все эти извращения чисто ради эстетики, из практической пользы для меня была только изоляция гостевого WiFi и более гибкой настройки файрвола.

Как бы сделали вы?

Забей на это и купи на авите пару старых циск или отдельный компьютер, чтобы с ними играться, не ломая интернет семье.

Deleted ()
Ответ на: комментарий от Spoofing

А еще можно купить себе управляемый коммутатор и тогда тебе вообще одного сетевого интерфейса на серваке хватит.

Deleted ()
Ответ на: комментарий от Deleted

управляемый коммутатор

смотрит в интернет

ухмыляется ехидно

затеял что-то он

Уязвимость роутеров MikroTik оказалась серьезной и позволяет ...

HP залатала уязвимости в прошивке 166 моделей принтеров ...

Эксперты обнародовали 0-day уязвимости роутеров TP-Link

В роутерах D-Link DIR-620 нашли бэкдор и несколько уязвимостей ...

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

роутеров

Ты не туда воюешь. Да и те уязвимости как правило в вебморде, которая не будет торчать наружу.

  • Создаешь один транк (Tagged) Локалка/Провайдер на коммутаторе (VLAN100 и VLAN200).
  • Создаешь тоже самое на серваке. Соединяешь их с вышеуказанным портом.
  • Создаешь Untagged с вланом провайдера (VLAN200) на еще одном порте свича. Подключаешь туда провайдерский кабель.
  • ???
  • Выгода. Все остальные порты коммутатора можно оставить Untagged в VLAN100.

P.S: Вышеописанное - рецепт для свичей Ubiquiti, разные производители имеют разные способы настройки VLAN'ов.

Deleted ()

Что я от вас хочу услышать. Я хочу чтобы вы предложили мне свою идею для топологии сети.

Вы бы, все-таки, описали, что именно хотите получить в результате. Какие сервисы нужны, кто ими пользуется (локальные устройства, или из Сети), какие локальные устройства есть. Ну и так далее...

192.168.0.0/16

А почему маска именно /16? Чем стандартная /24 не устроила? У Вас предполагается число виртуалок и локальных устройств больше 254?

Serge10 ★★★★★ ()
Ответ на: комментарий от Deleted

P.S: Вышеописанное - рецепт для свичей Ubiquiti, разные производители имеют разные способы настройки VLAN'ов.

Для любых управляемых свичей, вообще-то.

Harliff ★★★★★ ()
Ответ на: комментарий от Harliff

Нужно бридж поправить, что бы он VLANы понимал. Google: vlan aware bridge

Harliff ★★★★★ ()

А вообще, ставь GNS3 и там развлекайся с сетями...

Harliff ★★★★★ ()

Автор, забывай про бриджи, переходи на Openvswitch. Возможностей много, удобнее да и вообще поинтереснее.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.