[FRsAG] Problème d'isolation réseau et système sous Linux - OVS - Qemu

SERRUT Arnaud qqqrno at gmail.com
Mer 14 Aou 11:50:39 CEST 2019


Salut

Sur un pare-feu, j'étais tombé sur un paramètre activé par défaut qui, si
un paquet arrivait d'un vlan  qui ne lui était pas connu, il le
broadcastait à l'ensemble des ports.

Tes ports acceptent les vlan 10 et 66 tagués (donc pas par défaut), mais
tes Vm font elles bien l'effort d'envoyer des paquets tagués à ton vswitch ?

Le mer. 14 août 2019 à 11:45, Florent Nolot <fnolot at gmail.com> a écrit :

> Bonjour
>
> justement, je n'ai pas de routage en place, pas de proxy arp et les trames
> de broadcast atteigne VM3 depuis VM1
>
> Sur mon host :
>
> toto at ubuntu:~$ ip route show
> default via 10.22.9.254 dev ens160 onlink
> 10.22.9.0/24 dev ens160 proto kernel scope link src 10.22.9.75
>
> net.ipv4.ip_forward = 0
> net.ipv4.conf.all.proxy_arp = 0
>
> Sur les VM, je n'ai pas de route par défaut. Chaque VM est lancé ainsi
>
> qemu-system-x86_64 -machine accel=kvm:tcg -cpu host -m 256 -hda
> alpine-lab1.img -net nic,macaddr=52:54:00:12:12:02 -net
> tap,script=no,ifname=lab1vm1 -vnc :2 -name lab1vm1 -localtime --daemonize
>
> Ce que je n'explique pas, si je down eth0 eth1 de la VM2, les ping
> continue à marcher ! VM2 ne fait donc pas le routage. Visiblement, c'est le
> kernel du host qui relai les paquets. Mais pourquoi les tag vlan ne jouent
> pas leur rôle ?
>
> Cordialement
> Le 14/08/2019 à 04:44, VALOIS, Pascal a écrit :
>
> bonjour,
>
> Dans ton cas, je pense que tes vm1 2 et 3 ont chacune une route par défaut
> positionnée, et que l'équipement qui assure leur routage fait le lien
> entre les deux vlans.
>
> en gros, au niveau 2 tu est bien isolé, mais comme tu es dans un contexte
> de ping et de routage ip, et non plus d'une transation pure ethernet
> (niveau 2), ben tu as un chemin qui existe entre des vms.
>
> A ce niveau la, il faut ajouter des ACLS sur ton équipement de routage,
> pour filtrer le niveau 3 (comme le ferai un firewall)
> Cordialement.
>
> Le 13/08/2019 à 23:23, Florent Nolot a écrit :
>
> Bonjour
>
> J'ai un problème d'isolation entre des VM connectés à un OpenVSwitch et
> utilisant des VLAN. Les vlan ne jouent pas leur rôle de cloisement. Je
> copie ci-dessous le post stackoverflow que j'ai effectué, resté sans
> réponse à ce jour.
>
> I have 3 VM (qemu with tap interface), 2 on vlan 10 and 1 on vlan 66 on
> the same lab1 OpenVSwitch. The first VM is connected via a tap interface on
> port lab1vm1. The second has 2 network interfaces connected on port
> lab1dhcp and lab1dhcpmaster and the third VM on port dhcpmaster.
>
> -------------   -----------------------  --------------
> | VM 1      |   |        VM2          |  |   VM3      |
> |10.10.10.3 |   |10.8.6.1  10.10.10.13|  | 10.10.10.2 |
> -------------   -----------------------  --------------
>    |                |           |             |
>    |                |           |             |
> ------------------------------------------------------------------
> |lab1vm1          lab1dhcp  lab1dhcpadm   dhcpmaster     OVS lab1|
> |tag 10           tag 10     tag 66         tag 66               |
> ------------------------------------------------------------------
>
> The OpenVSwitch is configured as follow :
>
>     Bridge "lab1"
>         Port "lab1vm1"
>             tag: 10
>             Interface "lab1vm1"
>         Port "lab1"
>             tag: 10
>             Interface "lab1"
>                 type: internal
>         Port "lab1dhcp"
>             tag: 10
>             Interface "lab1dhcp"
>         Port "lab1dhcpadm"
>             tag: 66
>             Interface "lab1dhcpadm"
>         Port dhcpmaster
>             tag: 66
>             Interface dhcpmaster
>     ovs_version: "2.9.2"
>
> The problem: VM1 can ping VM3!
>
>    - If I power off VM2 or shutdown lab1dhcp or lab1dhcpadm interface,
>    the ping doesn't work.
>    - If I shutdown the two network interfaces of VM2, ping works !
>
> Why VM2 relay ICMP packet from VM1 to VM3 ? The broadcast send by VM1
> reach also VM3 ! for example, if I ask an address from dhcp client on VM1,
> VM3 receive the dhcp discover.
>
> Merci pour votre aide.
>
> Florent
>
> _______________________________________________
> Liste de diffusion du FRsAGhttp://www.frsag.org/
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190814/9713c854/attachment.html>


Plus d'informations sur la liste de diffusion FRsAG