Комментарии 33
НЛО прилетело и опубликовало эту надпись здесь
ай спасибо!
сам намедни столкнулся с подобной проблемой, но за неимением времени и пока еще некритичностью проблемы (привязаных маков два, а машин кроме хоста всего две, одну из которых можно было «потушить», а второй перебить мак) еще не копал в направлении поисков ответа на вопрос «что делать когда понадобится еще одна машинка».
как только появится необходимость тут же достану из меморизов ваш «рецепт» :)
сам намедни столкнулся с подобной проблемой, но за неимением времени и пока еще некритичностью проблемы (привязаных маков два, а машин кроме хоста всего две, одну из которых можно было «потушить», а второй перебить мак) еще не копал в направлении поисков ответа на вопрос «что делать когда понадобится еще одна машинка».
как только появится необходимость тут же достану из меморизов ваш «рецепт» :)
Я мало в чём понимаю, но что мешает просто назначить два IP на один интерфейс (и MAC соответсвенно)? И будет на оба адреса выдваться один ARP-ответ.
Мне совершенна не понятна логика провайдера, может кто разъяснить? Клиент берет 30 ip, а можно светить только одним маком.
не 30, а /30, т.е. 4 адреса :)
ам, ссори. Невнимательность. Но все же, в чем смысл ограничения?
Было сказано, что это «для безопасности, во избежание...» и прочая. Ну, провайдера можно понять, иногда на колокейшн такие клоуны приходят…
В любом случае, port security это стандартная фишка всяких каталистов.
В любом случае, port security это стандартная фишка всяких каталистов.
Смысл ограничения — избежание SYN/FIN flood DDoS атак от сервера пользователя Датацентра. Суть атак в том что из сервера где нет привязки ip к mac-адресу можно генерировать пакеты с фейковых ip.
вообще-то, в /30 всего два рабочих адреса, два других — это идентификатор зоны и броадкастовый адрес.
Такую задачу, можно решить используя статические маршруты iproute2. У вас проблема была не в том, что пинговался один хост, а в том, что к второму ip(нарабочему) пакеты прилетали, но не могли улететь обратно. Провайдер тут ни причем.
маршрутизация тут не катит, фактически — это бридж.
сами столкнулись с отказом хостера (агава) маршрутизировать подсети меньше /24, а башлять им тучу бабок за ненужные адреса, за их двухминутную работу и ежегодно за аренду AS/PI и bgp-соседа.
сами столкнулись с отказом хостера (агава) маршрутизировать подсети меньше /24, а башлять им тучу бабок за ненужные адреса, за их двухминутную работу и ежегодно за аренду AS/PI и bgp-соседа.
Если ip жили на алиасах и нормально пингались до того как автор настроил, КVM который начал выплевывать свои mac'и. То в чем проблема было послушать провайдера и использовать соурс раутинг по IP-интерфейсах? Бриджинг для виртуализации — не секюрно.
Разве в KVM нельзя задать просто ip для guest системы? Cогласно KVM документации ip можно получить даже по DHCP.
Наверно проблема в том, что в мануале для Ubunt предложено только вариант с бриджом.
Разве в KVM нельзя задать просто ip для guest системы? Cогласно KVM документации ip можно получить даже по DHCP.
Наверно проблема в том, что в мануале для Ubunt предложено только вариант с бриджом.
В моем решении бриджа и рядом не валялось. Тут на трейсрауте ты честно видишь еще один хоп — хостовую тачку. А как раз iptablesы порождают кучу возможностей наделать всяких косяков.
Впрочем, они же дают любителям секса возможность потрахаться вдоволь ;) — так что тут смотря кто чего ищет :)
А бриджинг — да, согласен, не наш метод.
Впрочем, они же дают любителям секса возможность потрахаться вдоволь ;) — так что тут смотря кто чего ищет :)
А бриджинг — да, согласен, не наш метод.
если ip пинговались, будучи алиасами одного интерфейса, то нет тут никакой маршрутизации и не будет, пока хостера не убедите настроить маршрутизацию определенной подсети через уже работающий на интерфейсе.
тема! будим знать как «Творить чудеса»!!! примного благодарен!
Спасибо за полезную информацию :-)
Спасибо. Узнал новый для себя вариант решения.
А маки на виртуалках поменять нет?
И, кстати, почему именно kvm?
И, кстати, почему именно kvm?
На что маки менять, на водку? «Скажи наркотикам — иногда»? ;)
Есть 3 популярных варианта бесплатной виртуализации — XEN, KVM и OpenVZ. Последняя — это просто chroot на том же ядре, а от первого убунтоводы сейчас отказались в пользу второго. Так что «при всем богатстве выбора другой альтернативы нет»(с) :)
Есть 3 популярных варианта бесплатной виртуализации — XEN, KVM и OpenVZ. Последняя — это просто chroot на том же ядре, а от первого убунтоводы сейчас отказались в пользу второго. Так что «при всем богатстве выбора другой альтернативы нет»(с) :)
а какие мак-адреса ты прописываешь для виртуалок? просто с потолка или это адрес интерфейса хоста?
Ответил ниже
я настроил себе сеть точно также и переодически вылезает проблема. после очередной перезагрузки виртуалки в ней теряется сеть, при этом на хосте, при запуске виртаулки, не поднимается ее qtap интерфейс. вручную поднимается, но проблему не решает. тоже самое после этого проявляется на всех остальных машинах, то есть сеть остается до первой перезагрузки. после чего приходится ребутить хост. в чем может быть проблема? может это быть из-за того, что я не прописывал маки виртуалкам?
и еще хотел спросить зачем нужна строчка down ip link set qtap1 down, когда ее указываю, то интерфейс qtap не поднимается, без нее все работает. может моя проблема быть как-то связана с этой строкой?
и еще хотел спросить зачем нужна строчка down ip link set qtap1 down, когда ее указываю, то интерфейс qtap не поднимается, без нее все работает. может моя проблема быть как-то связана с этой строкой?
Нет, хостовый мак нужен только снаружи. Какие будут маки внутри — совершенно монопенисуально
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ubuntu, KVM и proxy_arp — как обмануть злого провайдера