acidalcohol <[EMAIL PROTECTED]> writes:
> On szept. 4, 10:31, Ferenc Wagner <[EMAIL PROTECTED]>
> <[EMAIL PROTECTED]> wrote:
>> acidalcohol <[EMAIL PROTECTED]> writes:
>>> Lehetséges, hogy nem bridge kell nekem, hanem routolt hálózat? Hiszen
>>> bridge esetén nem tudom a tűzfaldomU -n szabályozni az egyik zónából a
>>> másikba történő forgalmat.
>>
>> Akarsz valami komolyat a tűzfalon (ip/eb)tables-ön kívül? Mert ha
>> nem, akkor szerintem egyszerűen csináld a csomagszűrést a dom0-ában.
>
> Igazából a tűzfaldomura csomagszűrés, zónák kezelése, routolgatás,
> natolás mennek első körben. Szerinted legyen a dom0 -án? Milyen okból
> kellene a dom0 -ra és milyen szempont szerint domU -ra tenni a
> tűzfalat? Ebben a kérdésben senkitől nem kaptam még választ.
Mivel nem tervezel alkalmazás szintű szűrést, szerintem nem érdemes
egy külön domU-t fenntartani erre a célra, hacsak nincs olyan igényed,
amit a Xen dom0 kernel még nem tud kielégíteni (pl. IPv6 conntrack).
Ezáltal valamivel egyszerűbb a felállás.
Ha külön tűzfal domU-t használsz, akkor csinálj külön bridge-eket a
tűzfal interfészeinek, és a azokba tedd be a gép fizikai interfészeit
illetve a többi domU virtuális interfészeit is. Belefuthatsz abba,
hogy egy domU-nak legfeljebb három virtuális interfésze lehet; akkor
VLAN-oznod kell.
--
Üdv: Feri.
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
