Debian
使用 systemd-networkd 將外部 IP 的所有流量直接路由到 KVM 來賓
我有一個執行 Debian Buster 的專用伺服器。我通過單個網路介面連接,並從伺服器提供商處訂購了一個額外的 IP。
我想設置一個直接使用額外 IP 的 KVM 來賓。我已經用Google搜尋了這個問題,並發現了一些可能使用橋接器的方法。但是,我想確保到第二個 IP 地址(來賓)的流量永遠不會通過主機,以避免洩露主機和來賓都在同一台機器上執行的資訊。
我的猜測是使用防火牆規則,但我不是 iptables 專家,出於安全原因不想對其進行錯誤配置。
將流量直接路由到客戶機並確保它永遠不會到達主機系統的最佳策略是什麼?
是否可以在堆棧中的乙太網級別路由流量?
主機使用 firewalld 和 systemd-networkd 單元文件進行網路配置。主機 IP 和額外 IP 都在同一個子網上。來賓將是一台 Debian KVM 機器。
編輯:關於流量路由,我的意思是如果它通過主機防火牆(核心網路堆棧)然後只路由到來賓而不留下它通過防火牆的線索就可以了。這意味著主機中的任何服務都不能通過第二個 IP 獲得。
您主機上的軟體網橋正好為您提供了這一點,只需在網橋上配置主機 IP 之外的任何內容。(在訪客介面上配置與內部網橋埠對應的額外 IP,對主機不可見。)網橋是乙太網級別 (L2) 設備,不會作為 IP 級別 (L3) 路由中的單獨躍點出現。