KVM의 가상화 방화벽

KVM의 가상화 방화벽

KVM(CentOS7)을 사용하여 가상화된 일부 가상 머신(홈 랩)이 있고 홈 네트워크에 연결되어 있습니다. 최근에 이를 별도의 네트워크에 배치하여 격리하려고 시도했으며 이를 달성하기 위해 다른 VM과 동일한 호스트에서 가상화된 pfsense를 사용하고 싶습니다.

먼저 virt-manager에서 랩 호스트를 위한 격리된 네트워크를 만들었습니다. 여기에 이미지 설명을 입력하세요.

그런 다음 2개의 네트워크 카드로 vm을 만들고 pfsense를 설치했습니다. 한 인터페이스의 주소는 192.168.1.100(홈 LAN)이고 다른 인터페이스의 주소는 10.13.37.1(실험실 네트워크)입니다. 여기에 이미지 설명을 입력하세요. 여기에 이미지 설명을 입력하세요.

pfsense xml 덤프:

<interface type='direct'>
  <mac address='52:54:00:52:37:3f'/>
  <source dev='enp1s0' mode='bridge'/>
  <target dev='macvtap0'/>
  <model type='virtio'/>
  <alias name='net0'/>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
<interface type='network'>
  <mac address='52:54:00:65:58:d6'/>
  <source network='lab' bridge='virbr1'/>
  <target dev='vnet1'/>
  <model type='virtio'/>
  <alias name='net1'/>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/>
</interface>

가상 머신(테스트 서버) 중 하나를 내부 pfsense 네트워크로 이동하고 pfsense IP 주소를 게이트웨이로 설정하여 인터넷에 연결할 수 있는지 테스트했습니다.

테스트 서버(10.13.37.54) xml 덤프:

<interface type='network'>
  <mac address='52:54:00:eb:ce:db'/>
  <source network='lab' bridge='virbr1'/>
  <target dev='vnet0'/>
  <model type='virtio'/>
  <alias name='net0'/>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

테스트 서버에는 www 서버가 실행 중이며 이를 컬링할 수 있습니다(컬링).http://10.13.37.54) pfsense vm에서 내부 네트워크가 제대로 작동하고 있습니다. 또한 pfsense에 인터넷이 연결되어 있습니다(예: 컬 등의 OS를 업데이트할 수 있습니다).http://google.com). 테스트 서버에서 pfsense와 google.com을 핑할 수 있지만 컬을 시도하면http://google.com어떤 이유로든 (다른 사이트와 마찬가지로) 계속 시간 초과가 발생합니다. google.com 도메인을 IP로 확인할 수 있으므로 dns(udp 패킷)는 제대로 작동하지만 TCP 3방향 핸드셰이크를 설정할 수 없습니다. SYN 패킷을 보내고 있지만 아무것도 수신하지 않습니다. 내부 연구실 네트워크에서 패킷 캡처는 다음과 같습니다(pfsense에서 캡처). 여기에 이미지 설명을 입력하세요.

답변1

다른 포럼에서 답변을 얻었는데 제가 해야 할 일은하드웨어 체크섬 오프로드 비활성화,다음으로 연결문서

관련 정보