[问题求助][CentOS] 关于iptables和vmware的问题，需2方面的高手才可以解决!【再开】 [复制链接]

还是ipt.ables和vmware的问题,昨天斑竹帮我找到问题。今天研究了一天.。外贸

环.境：linux server只是局域网的一台普通机器，也是通过其他机器上网的，linux .server上用vm.ware做了几个虚拟机，这些虚拟机用nat,bridge,host-only上网都没问题[成人用品]

要求：需要用iptabl.es控制不同虚拟机有不.同的访问权限，如果权限一样当然很容易实现.

现状：昨天发现问题。
1。 如果.虚拟机网络设.定为nat，所以虚拟机都是通过同一个IP来访问linux server然后访问外网。所以iptables没办法区分是哪个虚拟机..
2。 如果虚拟机网络设定为bridge,. 虚拟机直接得到公司局域网的IP而且所有的ipt.ables的chain对它都不起作用。健康

解决方案：只要在linux server上再装一个网卡.，虚拟机网络设定为nat就可以解.决了。不过，这样会对我们的代码有很大影响所以不打算这样做投资

问题：现在我想到的唯一的办法是用host-only设定虚拟机网络。但是好像有点搞不清楚还在研究中，我的一个帖子里面，斑竹kend.uest给过我答案，但是太复杂，目前还.在研究中。。。现在来这里寻求更好地解决方案~~！！..

突然发现我5年前当程序员的时候注册.过这里。估计是去java区。。所以不用ste.veclark那.个新号了。没想到我用当程序员了哈哈！解除linux不到一个星期就碰到这么棘手的问题。           女人

[4-30-2008]
今天.学习至顶的的材料，学习到IP欺骗，.然后终于自己找到解决方法了！~~ 哈哈域名

1. 首先，把guest虚拟机的.网络设定改成Host-on.ly.             汽车
2. 必须手动设定虚拟机ip，网关设置为vmne.t1的I.P,ip地址也必须和vmnet1在同一段电脑
3. 开启I.P forwarding功能.
   ech.o 1 > /proc/sys/net/ipv4/ip_.forward教育
4.. 手动映射ip到eth0网络.
ip.tables -t -nat -A POSTROUTING -o eth0 -s 192.168.134.128/24 -.j MASQUERADE域名
或者
iptables -t. -nat -A POSTROUTING -o eth0 -s 192.168.1.34.128/24 -j SNAT .--to 208.48.153.120-208.48.153.140.
5. 写iptables规则
iptalbes -A .FORWARD -s 192.168.134.128 -d 209.85.173.99 -j D.ROP          婚庆
iptalbe.s -A FORWARD -s 192.168.1.34.129 -d 209.85.173.147 -j DROP.
2条都有效了，说明我成功了！.！哈哈外贸

这个.就要相当于自己做了一个Bridge连接方式，不过这个方式是通过iptables做的，当然也可以用它控制！！. 外贸

其实我几.天前问的第一个帖子，斑竹.kenduest 和水田青蛙就已经给我正确答案了。但是说得不清楚，不够详细，我刚接触linux和这些东西，无法理解。另.外，斑竹platinum给了我很多启示，谢谢大家了    健康

[ 本.帖最后由 liwens.i 于 2008-5-1 08:47 编辑 ].

我来回答

QUOTE:原帖由 liwensi 于 2008-4-30 08:47 发表
现状：昨天发现问题。
1。 如果虚拟机网络设定为nat，所以虚拟机都是通过同一个IP来访问linux server然后访问外网。所以iptables没办法区分是哪个虚拟机.
2。 如果虚拟机网络设定为bridge, 虚拟机直接得到公司局域网的IP而且所有的iptables的chain对它都不起作用。

1、可以通过不同 IP 来区分不同虚拟机啊
2、宿主机仍然可以做 NAT 来实现对其他机器的可控啊（宿主机是 Linux）

bridge不过3层协议，iptables管不到，用ebtables
nat也可以尝试通过mac地址区分

QUOTE:原帖由 dxcnjupt 于 2008-4-30 09:49 发表
bridge不过3层协议，iptables管不到，用ebtables
nat也可以尝试通过mac地址区分

楼主说的 bridge 是虚拟机的网卡接入类型，并非 netfilter 过滤框架

QUOTE:现状：昨天发现问题。
1。 如果虚拟机网络设定为nat，所以虚拟机都是通过同一个IP来访问linux server然后访问外网。所以iptables没办法区分是哪个虚拟机.

你的linux server不就是host 机器么,怎么多个虚拟机会通过同一个ip来访问它?
对于host机器来说,是能够通过iptables来限制各个虚拟机的访问的

QUOTE:原帖由 jinl 于 2008-4-30 10:21 发表

你的linux server不就是host 机器么,怎么多个虚拟机会通过同一个ip来访问它?
对于host机器来说,是能够通过iptables来限制各个虚拟机的访问的


但是linux server只有一个网卡，而且虚拟机网络如果设置为nat的话 所有的虚拟机都是通过vmnet8这个ip来访问linux server的。
换句话说如果linux server有2个网卡的话 那很容易可以实现host-server的

理论上通过host-only的方法应该可以解决问题
我只在windows上用过vmware，不知道linux上是不是一样
在windows安装vmware后，会在网络控制面板里多出两块虚拟的vmware的网卡，
默认情况下应该是vmnet8与vmnet1,其中vmnet8与nat模式的虚拟机网卡在一个网段，vmnet1与host-only模式的虚拟机网卡在一个网段
假如设置虚拟机的网卡模式为nat,则会通过vmnet1这块网卡，然后nat出去
设置为host-only，则流量可以流到vmnet1，这时候设置iptables的转发规则，应该可以将流量导引出去

QUOTE:原帖由 starvalley 于 2008-4-30 13:57 发表
理论上通过host-only的方法应该可以解决问题
我只在windows上用过vmware，不知道linux上是不是一样
在windows安装vmware后，会在网络控制面板里多出两块虚拟的vmware的网卡，
默认情况下应该是vmnet8与vmnet ...



我觉得也只有host-only可以，既然要主机能够识别是哪个客户机，那么当然需要客户机直接和本机连接。不过我刚用linux,还需要继续研究。很多东西不懂啊。发现其实不至这3种模式，似乎还可以自定义。

我在想是不是这3种连接方式本质一样，设定以后我们还是可以手动修改其中一些设定。
对于host(linux  server)，是不是一定需要2快网卡才能满足我的需求呢？:

QUOTE:原帖由 liwensi 于 2008-5-1 01:02 发表
我在想是不是这3种连接方式本质一样，设定以后我们还是可以手动修改其中一些设定。
对于host(linux  server)，是不是一定需要2快网卡才能满足我的需求呢？:

已经给过你答案了