Re: Problème avec un bridge sur de l'ethernet bonding

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

Daniel Huhardeaux a écrit :
> Henry-Nicolas Tourneur a écrit :
>>
>> Dans mon cas il faut que mes vm aient des ip publiques car elles font
>> tourner des services identiques (smtp), donc impossible au niveau
>> d'iptables de rediriger plus vers l'une ou l'autre.
>>   
> Et? Voici comment rediriger tout le trafic de 2 IP publiques d'une 
> machine hote vers deux IP privee, chacune correspondante a une VM.
> 
> $IPTABLES -t nat -A PREROUTING -p all -d $EXTERNAL_IP1 -j DNAT --to $IP_VM1
> $IPTABLES -A FORWARD -p all -d $IP_VM1 -j ACCEPT
> $IPTABLES -t nat -A PREROUTING -p all -d $EXTERNAL_IP2 -j DNAT --to $IP_VM2
> $IPTABLES -A FORWARD -p all -d $IP_VM2 -j ACCEPT

A noter que ces règles ne suffisent pas. Il manque bien sûr les règles
acceptant le trafic retour dans la chaîne FORWARD (s'il est bloqué par
défaut). Mais le plus important est que les paquets doivent arriver à
l'interface de la machine hôte, et pour cela il faut que celle-ci
réponde aux requêtes ARP pour les adresses en question. La création
d'alias IP avec ces adresses est une méthode simple pour y parvenir, qui
se justifie dans ce cas. Le proxy ARP en est une autre ; elle a
l'avantage de pouvoir se passer de la redirection NAT si les adresses
publiques sont affectées directement aux machines virtuelles.