我想在 LXC 容器中运行几个安全网络工具,如 ntopng、suricata、snort 等。
我将服务器的其中一个 NIC 连接到防火墙的端口...因此基本上这个 NIC 会看到通过防火墙的所有流量。我用 brctl 添加了一座桥,并将接口添加到桥中。但没有流量通过桥传递到容器...
USE_LXC_BRIDGE="false"在 lxc 配置中设置。
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT位于before.rules基础安装中。LXC 容器正在使用veth模式。如果我将网络类型设置为physthings work(一次针对一个容器),但如果我想运行多个工具,这将不起作用!
答案1
以下是我了解到的情况:
Linuxbridge是一个误称... 在brctl现实世界中,bridge行为更像switch网络世界中的行为。网桥很智能,因为它们会找出与其相连的 MAC 地址,并且只将以太网帧转发到具有匹配 MAC 地址的网桥成员以提高效率。这是您期望物理网络交换机具有的行为。
我正在寻找的虚拟软件定义设备类似于网络hub...其中所有帧都会重新广播到集线器的所有成员,而不管该帧的目的地为 MAC 地址是什么。
线索:
对于我的桥来说span0:
brctl setageing span0 0
brctl setfd span0 0
或/etc/network/interfaces:
auto span0
iface span0 inet manual
bridge_ports em1
bridge_fd 0
bridge_maxwait 0
bridge_stp off
bridge_maxage 0
bridge_ageing 0
呼。希望这对其他人有帮助!