LINUX.ORG.RU

История изменений

Исправление targitaj, (текущая версия) :

Отлично.
Значит, смотри. Теоретически, на хост-машине должен быть отдельный интерфейс, который ты включал бы в бридж для получения доступа к этому бриджу из хост-системы. Практически, они сделали проще. Они просто дали возможность выдавать ip адрес прямо непосредственно бриджу.
То есть, на хост-машине ты поднимаешь бридж, даёшь этому бриджу ip адрес и включаешь в этот бридж машину 2. Не забудь озаботиться выдачей ip настроек для машины 2. В результате ты получаешь обычную «прозрачную» тупую сеть, в которой все сетевые ресурсы доступны из любой машины (если правильно выдал ip второй машине и не забыл включить forward на хост-машине)
Далее, ты из этой сырой сети делаешь нужный тебе результат
Средствами iptables изолируешь бридж.
Средствами iptables на хост машине выполняешь задачу файрволла. Смысл в том, что следует эти вещи четко разделять. Это просто роли. Покольку у тебя в сети нет выделенной машины-шлюза, то эту роль будет выполнять хост-машина, средствами iptables.

Это главный секрет - выделить и разграничить роли, а потом просто поэтапно накладывать. Не следует пытаться жрать кашу сырой, приготовь сначала и съешь по-порядку.

Исходная версия targitaj, :

Отлично.
Значит, смотри. Теоретически, на хост-машине должен быть отдельный интерфейс, который ты включал бы в бридж для получения доступа к этому бриджу из хост-системы. Практически, они сделали проще. Они просто дали возможность выдавать ip адрес прямо непосредственно бриджу.
То есть, на хост-машине ты поднимаешь бридж, даёшь этому бриджу ip адрес и включаешь в этот бридж машину 2. Не забудь озаботиться выдачей ip настроек для машины 2. В результате ты получаешь обычную «прозрачную» тупую сеть, в которой все сетевые ресурсы доступны из любой машины (если правильно выдал ip второй машине и не забыл включить forward на хост-машине)
Далее, ты из этой сырой сети делаешь нужный тебе результат
Средствами iptables изолируешь бридж.
Средствами iptables на хост машине выполняешь задачу файрволла. Смысл в том, что следует эти вещи четко разделять. Это просто роли. Покольку у тебя в сети нет выделенной машины-шлюза, то эту роль будет выполнять хост-машина, средствами iptables.

Это главный секрет - выделить и разграничить роли, а потом просто поэтапно накладывать. Не следует пытаться жрать кашу сырой, проготовь сначала и съешь по-порядку.