Bridged VM mit bhyve bei pf excluden

[jeff84]

Guten Abend,

ich habe folgendes Setup:
Mein Server hat ein Interface bge0, über das der Server erreichbar ist. Dieses ist per pf gefiltert.
Nun wollte ich eine VM per bhyve virtualisieren. Hierfür gibt es eine Bridge (bridge0), die als Member das Interface bge2 (zum Switch) und tap0 (VM) hat. Weder auf bridge0, noch auf bge2 ist eine IP-Adresse konfiguriert. Was ist nun der einfachste Weg um die VM (ohne pf) ins Netz zu lassen?
Derzeit habe ich auf dem Host

set skip on bge2
set skip on bridge0
set skip on tap0

eingerichtet. Gibt es hier einen saubereren/besseren Weg? Oder fange ich mir hierbei vielleicht irgendwelche Risiken ein?

 

[mogbo]

https://github.com/churchers/vm-bhyve/wiki/NAT-Configuration

Arbeite dich mal dadurch, müsste denke ich dein Problem lösen oder zumindest den richtigen Ansatz klarmachen

 

[jeff84]

Naja, NAT will ich ja gerade nicht. Ich bekomme direkt an dem Interface ne öffentliche IP. NAT ist noch mal Overhead, der sauber gepflegt werden muss. Deshalb ist direkt gebridged hier der bessere Ansatz. Leider verstehe ich von pf noch zu wenig und wollte daher den saubersten Ansatz dafür kennen lernen.

 

[mark05]

moin
wenn ich das richtig verstanden habe

bge0 -> public ip mit pf

bridge0 mit bge1 und tap ohne jegliche ip

vm mit einer public / privaten ip ?

welche gw ip wird den in der vm eingetragen , wer routet den da , die bridge kann es nicht ?

holger

 

[jeff84]

Über den Switch, an dem der Server hängt, ist ein /25er Netz erreichbar. Nennen wir es für dieses Beispiel mal 10.10.10.0/25. Hierbei ist 10.10.10.1 das Gateway für das Netz. Der Server hat nun über bge0 eine IP-Adresse (10.10.10.61) die VM, die mit bge2 gebridged und damit am gleichen Switch ankommt hat die 10.10.10.59 und als Gateway die 10.10.10.1. Das funktioniert alles soweit ohne Probleme, wenn ich auf dem Host entweder:
- pf-Policies für die beteiligten IPs und Interfaces anlege (Das möchte ich nicht pflegen)
oder
- set skip on {bge2, bridge0, tap0}
setze (die Variante habe ich aktuell aktiv)

Meine Frage wäre, ob es noch eine schönere/sauberere/bessere Variante gibt, zu verhindern, dass pf hier eingreift.

 

[mark05]

Hi
Also Set skip ist da schon die beste Option.

Zusätzlich könntest du darauf achten das
In den verwendeten regeln immer
Ein "Pass in bge0" enthalten ist.


Holger

 

[lme]

Halb-OT: hat sich bei 11.2 eigentlich was geändert, was "set skip on lo" angeht? Auf zwei Servern hier funktioniert das auf einmal nicht mehr und ich musste mir mit

pass in on lo0
pass out on lo0

behelfen. Unter 11.1 war das noch kein Problem.

 

[KobRheTilla]

Hi,

hat sich bei 11.2 eigentlich was geändert, was "set skip on lo" angeht?

in der Manpage (schon vor 11.1) steht:

set skip on lo0

lo allein ist ja kein Interface.

Rob

 

[lme]

lo allein ist ja kein Interface.

Das stimmt, allerdings habe ich das, soweit ich weiß, aus Peter Hansteens pf-Buch übernommen und es hatte ja immer geklappt...

 

[mark05]

Immer dran denken ,
Pf hat seinen Ursprung bei openbsd.
Wenn man dort ifconfig Lo eingibt, so bekommt man alle local Interfaces angezeigt.

Holger