我打算运行一个专门的防火墙发行版,但我想在KVM虚拟机中运行它。
我有一个2 NIC的机器,我打算分配到广域网和局域网。 但是,两个网卡都不支持VT-d,所以PCI直通是一个很大的问题。 因此,我已经考虑到在私有模式下为WAN接口使用macvtap,在LAN接口上使用标准网桥。
我只是想知道:我该如何处理这个WAN接口? 假设它被称为eth0,并且在私有模式下有一个macvtap链接到它,从而分配防火墙WAN接口。 如何在Linux主机上configurationeth0接口本身? 你把它设置为手动模式,从而不分配IP? 你给它一个IP,静态或DHCP? 你用IPTABLE规则保护它吗?
我只是想知道,如何安全地实施这种types的设置,从WAN端保护主机和虚拟防火墙客户端?
任何build议,你可以给予赞赏!
实际上,你可以用任何你想要的方式在主机上configuration父设备。 您可以将界面保留为“手动”模式,并添加一个界面与主机操作系统进行通信。 或者,当然,您可以在界面上设置静态或者DHCPconfiguration,就像您没有使用macvtap一样。
唯一需要注意的是,如果您select在父设备上分配地址,主机将无法与防火墙虚拟机进行通信。 这是因为数据包将从父接口发送到交换机,如果它不支持发夹模式(dst接口与src相同),帧将不会被传回。
但是,在您的设置中,所有stream量都首先通过防火墙虚拟机,所以您只需将主机上的接口保留为手动模式即可。 这样,主机上的TCP / IP协议栈将不会接收到任何传入的数据包,并且所有通信都将通过macvtap传递给防火墙虚拟机。