MrSnrub's questions

我有一个带有多个 eth N接口（我的“大防火墙”）的 Linux 防火墙路由器（专用机器）。所有转发的流量都由一组iptables规则过滤（默认策略 DROP）。

还有另一台专用机器（“vmhost”）将使用 KVM / QEMU / libvirt / virsh 托管多个虚拟机。

防火墙路由器（物理服务器）和vm主机（另一台物理服务器）通过跳线直接连接（路由器的eth2 <-> vmhost的eth0）。

我不希望 vmhost 上的虚拟机能够通信

• 对彼此
• 或到 VM 主机

除了通过外部防火墙路由器。

因此，我在两侧（路由器和 vmhost）配置了多个 802.1q 标记的 VLAN：eth0.10、eth0.11 等（另一侧为 eth2.10、eth2.11、...），每个都有一个不同的/30子网（一个主机 IP = 路由器，另一台主机 IP = VM）。因此，每个虚拟机都有自己的标记 VLAN 和自己的子网。

我想用它来将 VM 流量从属于中央防火墙路由器的 iptables 规则。VM 只能访问明确允许的 IP 地址和端口。

如何将 VM 配置为绑定到专用 VLAN 接口（例如eth0.10）？关于net, netdev, nic, ...

我明确不想在虚拟机的网络或虚拟机和主机之间架起桥梁。

// 稍后添加：两台服务器都使用 Debian 10 amd64。

周四，Tomcat 邮件列表中公布了 Tomcat 的 DoS 问题（“ [ SECURITY ] CVE-2014-0050 Apache Commons FileUpload and Apache Tomcat DoS”）。

攻击者似乎能够通过content-type在上传文件时发送一个过长的标头来导致无限循环（如果 Web 应用程序中使用了 Servlet 3.0+ 上传功能），据我第一眼理解该消息。

如果有人在 Apache httpd 服务器后面运行他们的 Tomcat 服务器（使用 AJP 和 mod_jk），那么可以做些什么来实现“将 Content-Type 标头的大小限制为小于 4091 字节”的建议？

当然，只要有可用的错误修复版本（通过下载页面或 Linux 发行版特定的软件包存储库），就应该更新。没有问题。但目前可用的 Tomcat 版本 7.0.50似乎仍然受到影响。

但是，在发布固定版本之前，作为一种快速的防御措施，人们能做些什么呢？

（无需...

• 卸载当前的 Tomcat 包（从包存储库安装），
• 从源代码（SVN）手动构建版本，
• 手动部署它们（没有apt-getor aptitude），
• 稍后再次卸载所有手动构建的东西，以支持从包存储库中舒适地更新版本）

是否有类似于此主题的临时解决方法：http ://wiki.apache.org/httpd/CVE-2011-3192 ？

那时，可以使用mod_headers、mod_setenvif或mod_rewrite来处理问题。是否有类似的 Apache httpd 技巧可以使格式错误的分段上传请求远离下游 Tomcat 服务器？