[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema curioso en Proxmox bajo Debian interesante

El día 13 de septiembre de 2013 10:52, C. L. Martinez
<carlopmart@gmail.com> escribió:
> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>> El día 13 de septiembre de 2013 10:31, C. L. Martinez
>> <carlopmart@gmail.com> escribió:
>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>>>>>>> Lo que tienes que hacer es apagar la máquina virtual y volver a
>>>>>>>>> encenderla. Aunque la reinicies no se entera de los cambios de hardware
>>>>>>>>> mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo.
>>>>>
>>>>>>>>
>>>>>>>> Gracias por contestar. Te ha pasado a ti tambien? Claro yo la reiniciaba en
>>>>>>>> vez de apagarla e imagino que no se estaban aplicando los cambios.
>>>>>>>>
>>>>>>>> Veo ilogico tener que reiniciar lla maquina anfriona, y si tienes 3
>>>>>>>> firewalls corriendo en produccion....
>>>>>>>>
>>>>>>>
>>>>>>> Pues si son fws, con más motivo debes reiniciarlos. Yo también tengo
>>>>>>> un pool de fws virtualizados en producción pero bajo ESXi, y aunque la
>>>>>>> plataforma permite hacerlo "en caliente" te encuentras con que los fws
>>>>>>> empiezan a denegar paquetes por spoofing ... Yo no diría que es un bug
>>>>>>> del proxmox ...
>>>>>>
>>>>>> Reiniciarlos o apagarlos, más bien apagarlos no? porque reiniciando se
>>>>>> la chuflaba,seguía con la config anterior como han comentado.
>>>>>
>>>>> En ESXi con reiniciarlos es suficiente ... Igual que con KVM bajo
>>>>> RHEL/CentOS ...
>>>>>
>>>>>>
>>>>>> Me habían hablado bien de esxi cuando me dijeron lo de que podrías
>>>>>> cambiar las interfaces de las VM en caliente me pareció una opción
>>>>>> increíble y potente la verdad...Tienes algún enlace donde corrobore la
>>>>>> denegación de paquetes spoofing o es que te ha pasado a tí realmente?
>>>>>
>>>>> ¿Sabes lo que es spoofing?? Lo digo por lo de corroborar ... Es un
>>>>> concepto de fw bastante habitual ... Es más, tus pfsense te habrán
>>>>> puesto algunas reglas tal que así:
>>>>
>>>> Sé lo que es spoofing, desde hace unos cuantos años la verdad. Lo de
>>>> corroborar me refiero al esxi que efectivamente se produce la
>>>> denegación de paquetes by spoofing si lo cambias en caliente xDD. A lo
>>>> mejor me he explicado mal.
>>>>
>>>
>>> No, no te has explicado mal ... Pero no veo que tengas claro lo que
>>> son las reglas de anti-spoofing. En ESXi, como en cualquier hypervisor
>>> y máquina física,  sea KVM, Xen, etc .. en cuanto hagas un cambio de
>>> interfaz "en caliente", un fw por definición va a empezar a denegar
>>> paquetes por sus reglas de anti-spoofing, excepto si has cometido la
>>> locura de desactivarlas ... Es decir, es lo mismo que si cambias el
>>> latiguillo en una máquina física.
>>>
>>> Saludos.
>>
>> Muchas gracias. Me queda más claro lo que es.
>>
>> Ningún paquete de mi red interna puede llegar con una ip de mi red por
>> la interfaz conectada a internet.
>>
>> Corrígeme si me equivoco, estamos para aprender.
>>
>
> Cierto, a medias y dependiendo de la cantidad de interfaces que tengas
> asociadas en el fw. Si dispones únicamente de dos, es correcto, pero
> si dispones de más, debes tener una regla de antis-poofing para cada
> una de ellas. Por ejemplo: si tienes una interfaz adicional de DMZ,
> esa interfaz debe tener una regla por la cual los paquetes van y
> vienen a las IPs de DMZ deben venir por esa interfaz. Y en la interfaz
> pública, debería s tener una regla que denegase todos los
> direccionamientos internos, en caso de que dicha interfaz tenga
> direccionamiento privado. Si tiene direccionamiento público, debería
> denegar cualquier IP de rango privado, todo el espectro.

Gracias por la explicacion, se agradece de verdad.

>
> Por eso, cuando trabajas con entornos de virtualización y fws y hagas
> cambios de interfaz en dichos fws, basta con reiniciarlos. Como te he
> comentado con KVM (bajo RHEL/CentOS) e ESXi, no hay problema en
> realizar esa operación, pero si Proxmox no lo hace, es un bug. Pero
> según ellos, lo hace:
>
> http://pve.proxmox.com/wiki/Manual:_vm.conf

Pues te aseguro que no lo hace, no sé si será por ser freebsd...No lo
sé, cierto es que si no apagas la VM  y sólo la reinicias, no se
aplica el cambio de interfaz vmbr que compartes a la VM desde la
anfitriona.

En esta lista se aprende un montón, me encanta.

Por cierto, personalmente me gusta bastante más proxmox que esxi, pero
es una opinión personal.

Nuevamente, gracias.


>
> Saludos.
Reply to: