是时候用新的服务器replace旧的服务器了。 在旧的服务器上,所有的设置都是裸机。 随着新的服务器,我尝试设置虚拟服务器的具体任务。
主机操作系统是Debian 9.我将以HVM模式运行(也是Debian)。 计划的服务器是:MySql,电子邮件(后缀,邮件,垃圾邮件filter和所有相关的电子邮件),Web服务器(Nginx + PHP),Web代理(SSL终结者)
但问题是关于networking。 我不希望这些客人在外面可见,他们没有公共知识产权。 但每位客人都必须看到其他客人。
我创造了两座桥。 hostbr0和xenbr0 。 在hostbr0我添加了物理接口eno1女巫有一个静态IP(公共)。 在xenbr0我添加了vdum1接口。
vdum1是虚拟模块的虚拟接口,IP = 192.168.1.1。 对于所有访客IP地址是从192.168.1.0子网。 所以所有的客人都在一个networking。
我如何configurationiptables,让客人有互联网接入? 我不是要求确切的命令,而是要求方向。 我需要设置伪装吗? 那么巫婆界面必须伪装? 是否可以设置网桥之间的转发?
我已经尝试了伪装的展台桥接,但也无法访问来自客户操作系统的互联网。
我也想控制访客访问互联网。 例如,mysql客户根本不需要互联网(一般情况下)。
在主机操作系统上,我将使用shorewall 。
在主机操作系统上,您在IPTables上添加一条规则,该规则对从内部访客进入并进入外部的数据包执行SNAT。
在Shorewall中,入口看起来像/etc/shorewall/masq :
eth0 192.168.10.1 10.10.10.10
这里, eth0是连接到互联网的接口。 192.168.10.1是您想要NAT的访客IP地址。 10.10.10.10是在SNAT之后数据包将接收的IP地址(通常这与主机OS公共IP地址相同)。