A Qemu VM pode ser conectada à LAN principalmente de duas maneiras: type=userou type=tap. O usermodo isola completamente a VM na rede privada, que é sNATed para hospedar a pilha de rede principal. O uso do tapé mais complicado, ele precisa de um virtual bridgepara se tornar mestre de uma interface física ( eth0) e interface virtual ( tap0). O tap0é como um tubo para dados fluindo de fora do mundo e host para a VM. Passei muitas horas tentando regular o tráfego de rede na tap0interface com o lado do host iptables/nftablespara redirecionar, por exemplo, todas as solicitações http para algum endereço IP interno, mas sem sucesso. Todos os conselhos, fóruns e wiki recomendam muitas soluções, que não podem funcionar, devido ao principal motivo: os pacotes da VM convidada nunca chegam à pilha de rede do kernel do host. Eles escolhem seu caminho no nível da ponte e não atendem a nenhuma regra de firewall ajustada por nenhuma cadeia de filtro de pacotes, se o endereço IP do host não for seu alvo. Você pode tentar simplesmente definindo a política global do host para DROP(com host XYtables) e poderá ver: a rede do host está completamente inoperante, mas o convidado pode continuar a enviar e receber pacotes pela rede.
Bem, a pergunta: Existe alguma outra maneira de conectar virtualmente a VM convidada a uma interface de rede virtual do host? Para melhor entendimento seguem os gráficos:
General virtual connections for host/VM guest
+---------------------------------------------+
| +-----------------------------+ |
| | iptables host kernel | |
| | nftables network stack | |
| +-------+---------------------+ |
| | |
| +-------+---------+ +-----------+ |
---eth0--+ virtual | | VM | |
| | bridge +-tap-eth0 guest | |
---eth1--+ br0 | | | |
| +-----------------+ +-----------+ |
+---------------------------------------------+
Host became a router for VM guest
+-------------------------------------+
| +----------------+ +---------+ |
---eth0--> host kernel | | VM | |
| | <-vppp guest | |
---eth1--> network stack | | | |
| +----------------+ +---------+ |
+-------------------------------------+
Para resolver meu problema, deve haver uma maneira de controlar (com nftables, por exemplo) o tráfego da própria ponte virtual, ou como conectar a interface de rede convidada da VM por meio de um fio virtual a uma interface de rede virtual do host. Algo como uma rede PPPoE.
Mas a maneira definitiva e mais clara é adicionar mais alguns parâmetros à rede do modo de usuário Qemu para poder forçar o redirecionamento de algumas portas (serviços) para o endereço de destino escolhido, incluindo o loopback do host. Sim, enviei esses desejos à equipe do Qemu e obtive uma resposta: não é o recurso mais necessário.
Há duas soluções possíveis:
bridgea família nftables e faça a filtragem abaixo da camada 3.A primeira solução é a opção mais eficiente, mas limita você a filtrar as propriedades dos quadros Ethernet. Você não pode filtrar endereços IP ou portas, ou qualquer outra coisa na camada 3 ou superior, porque a ponte não processa nenhum desses dados.
A segunda solução é mais provável de permitir que você faça o que quiser aqui. Na verdade, isso é muito simples por dois motivos específicos:
Dê isso, a configuração 'normal' para o que você deseja fazer é:
Então, você apenas filtra as coisas em nftables de maneira diferente de se o sistema estivesse agindo como um firewall de perímetro. Você pode tornar isso ainda mais fácil configurando um servidor DHCP e armazenando em cache o resolvedor de DNS no sistema host para que você não precise fornecer a configuração de rede estática da VM.