我可能使用了錯誤的工具,但網(wǎng)絡(luò)名稱空間看起來似乎非常合適.

我有3個程序無法指定監(jiān)聽接口或地址(只能監(jiān)聽“0.0.0.0”).我想把這些服務(wù)放在netns中,他們只看到內(nèi)部地址(即192.168.3.0/24),阻止他們收聽外部流量.

我創(chuàng)建了一個名為“Local”的netn并創(chuàng)建了一個跨越主要和本地ns的veth,如：

ip link add veth1 type veth peer name vpe1

我將veth1與其他2個物理接口一起綁定到本地網(wǎng)橋(br0). “brctl show br0”現(xiàn)在顯示3個接口：eth0,eth5和veth1.

接下來,我在本地網(wǎng)上將vpe1的IP設(shè)置為“129”.測試顯示我能夠從其他主機和Local-ns中的bash-shell ping它,我只能ping本地網(wǎng)絡(luò)上的主機.

但是,progs(一個是xinetd)是為服務(wù)器的本地網(wǎng)絡(luò)地址(橋接地址為192.168.3.1)提供服務(wù).在“僅限本地”命名空間中使用不同的IP不能使它們響應(yīng)“服務(wù)器”上的服務(wù).

嘗試其他一些選項 – 我首先嘗試在其命名空間內(nèi)為’vpe1’提供相同的主機名,然后嘗試提供相同的IP ……沒有任何效果或產(chǎn)生影響.

從概念上講,我認為有一個子網(wǎng)復制主名稱空間

然后從外部接口中刪除外部接口 – 讓那些proc只看到本地接口和服務(wù)請求,就像他們看到所有接口之前一樣(并且不在命名空間中).

雖然這似乎是一個單獨的命名空間為一組進程提供服務(wù)器接口的不同邏輯視圖的理想位置,但我沒有看到如何讓netns只提供不同的“視圖”(使用’bind /這些“客戶”.

這是否可以使用linux的網(wǎng)名稱空間？或者他們遺漏了什么可以允許這個？如果名稱空間不提供這種類型的“分段”,是否可以在沒有大量iptable路由的情況下提供它來模擬主命名空間中的那些客戶端程序？

謝謝！

????一個一個☆

總結(jié)

以上是生活随笔為你收集整理的linux不能到达网关,linux – 在网关服务器上,netNS可以限制一个...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。