[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema curioso en Proxmox bajo Debian interesante

El día 13 de septiembre de 2013 09:52, C. L. Martinez
<carlopmart@gmail.com> escribió:
> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>> El día 13 de septiembre de 2013 08:39, C. L. Martinez
>> <carlopmart@gmail.com> escribió:
>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>> I
>>>> El 13/09/2013 08:21, "Juan Serra Costa" <juaserco@gmail.com> escribió:
>>>>>
>>>>> En Thu, 12 Sep 2013 18:34:33 +0200, Camaleón <noelamac@gmail.com>
>>>>> escribió:
>>>>>
>>>>>
>>>>>> El Thu, 12 Sep 2013 17:15:48 +0200, Maykel Franco escribió:
>>>>>>
>>>>>> (ese html...)
>>>>>>
>>>>>>> Hola muy buenas, me ha pasado un problema curioso a tener en cuenta en
>>>>>>> Proxmox.
>>>>>>>
>>>>>>> Resulta que teniamos un debian proxmox con 4 interfaces de red, las
>>>>>>> cuales estan configuradas asi:
>>>>>>>
>>>>>>> - vmbr0 -->> eth0 - vmbr1 -->> eth1 - vmbr2 -->> eth2 - vmbr3 -->>eth3 -
>>>>>>> vmbr4 -->> virtual, no asignada a ninguna ethX. Se usa para conexion
>>>>>>> interna.
>>>>>>>
>>>>>>> El tema es que no se si os habra pasado, si cambias por ejemplo la
>>>>>>> gestion:
>>>>>>>
>>>>>>> - vmbr0 -->> eth3 - vmbr3 -->> eth0
>>>>>>>
>>>>>>> Hay que reiniciar proxmox la maquina anfitriona. Lo dice el web panel de
>>>>>>> proxmox y es asi porque sino reiniciando el networking sigue sin
>>>>>>> aplicarse.
>>>>>>
>>>>>>
>>>>>> (...)
>>>>>>
>>>>>> Preguntonta: ¿has probado a hacer los cambios manualmente SIN usar el
>>>>>> panel web? Digo, siempre que sea posible. Quizá la restricción sólo la
>>>>>> tengas cuando usas la GUI del panel de gestión :-?
>>>>>>
>>>>>>> Y mi pregunta es, no creeis que si copiando la mac de net1 -->> vmbr4 y
>>>>>>> eliminando net1 -->> vmbr4, para posteriormente volver a crearla net1
>>>>>>> directamente con vmbr4 y poniendole la mac antigua(lo de la mac es por
>>>>>>> pfsense por si acaso) hubiera funcionado en vez de tener que reiniciar
>>>>>>> todo el proxmox anfitrion hubiera funcionado igual?
>>>>>>
>>>>>>
>>>>>> (...)
>>>>>>
>>>>>> Sinceramente, no me queda claro el motivo real de tener que reiniciar el
>>>>>> sistema anfitrión para hacer ese cambio, parece completamente ilógico y
>>>>>> arbitrario.
>>>>>>
>>>>>> Saludos,
>>>>>>
>>>>>
>>>>> Lo que tienes que hacer es apagar la máquina virtual y volver a
>>>>> encenderla. Aunque la reinicies no se entera de los cambios de hardware
>>>>> mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo.
>
>>>>
>>>> Gracias por contestar. Te ha pasado a ti tambien? Claro yo la reiniciaba en
>>>> vez de apagarla e imagino que no se estaban aplicando los cambios.
>>>>
>>>> Veo ilogico tener que reiniciar lla maquina anfriona, y si tienes 3
>>>> firewalls corriendo en produccion....
>>>>
>>>
>>> Pues si son fws, con más motivo debes reiniciarlos. Yo también tengo
>>> un pool de fws virtualizados en producción pero bajo ESXi, y aunque la
>>> plataforma permite hacerlo "en caliente" te encuentras con que los fws
>>> empiezan a denegar paquetes por spoofing ... Yo no diría que es un bug
>>> del proxmox ...
>>
>> Reiniciarlos o apagarlos, más bien apagarlos no? porque reiniciando se
>> la chuflaba,seguía con la config anterior como han comentado.
>
> En ESXi con reiniciarlos es suficiente ... Igual que con KVM bajo
> RHEL/CentOS ...
>
>>
>> Me habían hablado bien de esxi cuando me dijeron lo de que podrías
>> cambiar las interfaces de las VM en caliente me pareció una opción
>> increíble y potente la verdad...Tienes algún enlace donde corrobore la
>> denegación de paquetes spoofing o es que te ha pasado a tí realmente?
>
> ¿Sabes lo que es spoofing?? Lo digo por lo de corroborar ... Es un
> concepto de fw bastante habitual ... Es más, tus pfsense te habrán
> puesto algunas reglas tal que así:

Sé lo que es spoofing, desde hace unos cuantos años la verdad. Lo de
corroborar me refiero al esxi que efectivamente se produce la
denegación de paquetes by spoofing si lo cambias en caliente xDD. A lo
mejor me he explicado mal.

>
> block drop in log quick on ! lo0 inet6 from ::1 to any
> block drop in log quick on ! lo0 inet from 127.0.0.0/8 to any
> block drop in log quick on ! vtnet0 inet from 10.196.129.0/24 to any
> block drop in log quick inet from 10.196.129.27 to any

No mire las reglas, pero sólo sé que reiniciando no se aplicaba el
cambio de interfaz.

Saludos y gracias chicos.

>
> Eso son las reglas anti-spoofing ...
>
> Saludos.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] CAEjQA5+X-p1BMD7KhzkYxgY2LrgAcp14A5TN-98Cv6KjM2xrQQ@mail.gmail.com">http://lists.debian.org/[🔎] CAEjQA5+X-p1BMD7KhzkYxgY2LrgAcp14A5TN-98Cv6KjM2xrQQ@mail.gmail.com
>
Reply to: